Jaké jsou běžné typy bezpečnostních útoků?

Question

Accepted Answer

Pochopení běžných **typů útoků** — jak se útočníci snaží kompromitovat systémy — je základem obrany proti nim. Hlavní kategorie zahrnují injekci, XSS, CSRF, brute force, sociální inženýrství, DDoS a další.

## Útoky na webové aplikace

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## Útoky na autentizaci / přístup

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## Další útoky

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## Proč je to důležité

Pochopení běžných typů bezpečnostních útoků je základem, protože **se nemůžete bránit hrozbám, kterým nerozumíte**, takže vědět, jak útočníci operují, je nezbytné pro budování bezpečných systémů, což dělá tyto znalosti důležité bezpečnostní vědomí.

Povědomí o typech útoků — jak se útočníci snaží kompromitovat systémy — je základem obrany, protože každý typ útoku má odpovídající obranné mechanismy, a pochopení hrozeb motivuje a řídí ochranná opatření.

Pochopení **útoků na webové aplikace** — **injekce** (manipulace dotazů/příkazů prostřednictvím vstupu), **XSS** (skripty běžící v prohlížečích obětí), **CSRF** (přemluvení přihlášeného prohlížeče uživatele k nežádoucím požadavkům), **vadná kontrola přístupu** (přístup k neoprávněným prostředkům) a **SSRF** — pokrývá nejčastější hrozby na úrovni aplikací, které se vývojáři musí bránit.

Pochopení **útoků na autentizaci/přístup** — **brute force** (pokus o mnoho hesel, čelí se omezením frekvence a MFA), **credential stuffing** (použití uniklých přihlašovacích údajů), **session hijacking** (kradež tokenů) a **phishing/sociální inženýrství** (přemluvení lidí, protože člověk je často nejslabším článkem) — pokrývá, jak útočníci cílí na přístup.

Pochopení **ostatních útoků** — **DDoS** (zahlcování komunikace způsobující nedostupnost), **man-in-the-middle** (zachycování komunikace, znemožňeno HTTPS), malware, **útoky na dodavatelský řetězec** (kompromitace závislostí — čím dál důležitější) a zero-days — rozšiřuje povědomí o panoramatu hrozeb.

Znalost těchto typů útoků umožňuje vývojářům rozpoznat hrozby, pochopit, proč existují konkrétní obrany (parametrizované dotazy proti injekci, escapování proti XSS, MFA proti brute force, HTTPS proti MITM) a vybudovat vhodné ochrany.

Pokud se obrana před hrozbami vyžaduje jejich pochopení a každý běžný typ útoku má odpovídající obrany, a pokud je povědomí o hlavních útocích (injekce, XSS, CSRF, brute force, phishing, DDoS, dodavatelský řetězec) základem budování bezpečných systémů, je pochopení běžných bezpečnostních útoků základem, základní bezpečnostní znalostí — povědomím o hrozbách, které je základem veškeré defenzivní bezpečnosti, nezbytným pro rozpoznání hrozeb a pochopení, proč bezpečnostní opatření existují, a základní linií pro každého vývojáře budujícího systémy, které musí odolat neustálým a rozmanitým útokům, kterým software čelí.