Napad refleksije je ogrožanje varnosti strežnika, ki se doseže tako, da ga zavede, da odpove varnostno kodo, da hekerju omogoči dostop do nje. Napadi refleksije so možni, ko strežniki uporabljajo preprost protokol za preverjanje pristnosti obiskovalcev. Če dodate nekaj korakov za povečanje varnosti, lahko takšne napade otežite, kar hekerje prisili, da sledijo drugim načinom napada. Strokovnjaki za varnost lahko ocenijo sistem, da ugotovijo, ali varnost zadostuje za aplikacijo.
Ta vrsta napada izkorišča običajno varnostno tehniko, znano kot preverjanje pristnosti izziv-odziv, ki temelji na izmenjavi varnih informacij med pooblaščenim uporabnikom in strežnikom. Pri napadu refleksije se heker prijavi in prejme izziv. Strežnik pričakuje odgovor v obliki pravilnega odgovora. Namesto tega heker ustvari drugo povezavo in pošlje izziv nazaj na strežnik. V šibkem protokolu bo strežnik poslal odgovor nazaj, kar bo hekerju omogočilo, da pošlje odgovor nazaj po izvirni povezavi za dostop do strežnika.
Uporaba proxyjev in drugih orodij vzdolž povezave lahko oteži refleksni napad, prav tako pa lahko nekaj sprememb v protokolu, ki ga uporablja strežnik. Te dodatne plasti varnosti so lahko bolj zamudne in drage za implementacijo in morda niso nujno zagotovljene privzeto v sistemu z relativno nizkimi varnostnimi potrebami. Sistemi, ki uporabljajo pristop preverjanja pristnosti izziv-odziv za varnost, so lahko ranljivi za refleksni napad, razen če so spremenjeni za odpravljanje najpogostejših varnostnih lukenj.
Druge tehnike za boj proti refleksnemu napadu lahko vključujejo spremljanje povezav s strežnikom glede znakov sumljive dejavnosti. Nekdo, ki poskuša pridobiti nepooblaščen dostop, se lahko obnaša nenavadno, kot je na primer vidno, če se nekdo prijavi in se skoraj takoj odpre druga povezava, ki tej osebi omogoči, da ponovno usmeri izziv na strežnik. To je lahko opozorilni znak, da nekdo poskuša refleksni napad.
Računalniška varnost običajno vključuje več ravni. Če ena ne uspe, na primer, če je strežnik zmeden zaradi refleksnega napada, lahko pridejo v poštev druge ravni, da zmanjšajo škodo. Te plasti varnosti lahko izvajajo varnostni strokovnjaki z uporabo različnih programov, ki nudijo odvečno zaščito, zlasti za sisteme, ki obdelujejo občutljive informacije, kot so državni podatki. Zaradi izjemne varnosti je sistem lahko izključen iz omrežja in dostopen le osebno v objektu, ki varuje strežnik in opremo za dostop.