सुरक्षा हमलों के सामान्य प्रकार क्या हैं?

Question

Accepted Answer

सामान्य **हमले के प्रकारों** को समझना — हमलावर सिस्टम से समझौता करने की कैसे कोशिश करते हैं — उनके विरुद्ध बचाव के लिए बुनियादी है। प्रमुख श्रेणियों में injection, XSS, CSRF, brute force, social engineering, DDoS, और अधिक शामिल हैं।

## वेब एप्लिकेशन हमले

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## ऑथेंटिकेशन / एक्सेस हमले

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## अन्य हमले

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## यह क्यों महत्वपूर्ण है

सुरक्षा हमलों के सामान्य प्रकारों को समझना बुनियादी है क्योंकि **आप उन खतरों के विरुद्ध बचाव नहीं कर सकते जिन्हें आप नहीं समझते**, इसलिए यह जानना कि हमलावर कैसे काम करते हैं, सुरक्षित सिस्टम बनाने के लिए आवश्यक है, जिससे यह महत्वपूर्ण सुरक्षा ज्ञान बन जाता है।

हमले के प्रकारों के बारे में जागरूकता — हमलावर सिस्टम से समझौता करने की कैसे कोशिश करते हैं — बचाव की नींव है, क्योंकि हर हमले के प्रकार के अनुरूप बचाव होते हैं, और खतरों को समझना सुरक्षात्मक उपायों को प्रेरित और मार्गदर्शन करता है।

**वेब एप्लिकेशन हमलों** को समझना — **injection** (इनपुट के माध्यम से क्वेरीज़/कमांड्स में हेरफेर), **XSS** (पीड़ितों के ब्राउज़र में चलने वाले स्क्रिप्ट), **CSRF** (लॉग-इन उपयोगकर्ता के ब्राउज़र को अनचाहे अनुरोधों में धोखा देना), **broken access control** (अनधिकृत संसाधनों तक पहुँचना), और **SSRF** — सबसे सामान्य एप्लिकेशन-स्तरीय खतरों को कवर करता है जिनसे डेवलपर्स को बचाव करना चाहिए।

**ऑथेंटिकेशन/एक्सेस हमलों** को समझना — **brute force** (कई पासवर्ड आज़माना, rate-limiting और MFA द्वारा काउंटर किया गया), **credential stuffing** (लीक हुए क्रेडेंशियल का उपयोग), **session hijacking** (टोकन चुराना), और **phishing/social engineering** (लोगों को धोखा देना, क्योंकि इंसान अक्सर सबसे कमज़ोर कड़ी होता है) — कवर करता है कि हमलावर एक्सेस को कैसे निशाना बनाते हैं।

**अन्य हमलों** को समझना — **DDoS** (अनुपलब्धता पैदा करने के लिए फ़्लडिंग), **man-in-the-middle** (संचार को रोकना, HTTPS द्वारा रोका गया), malware, **supply chain हमले** (dependencies से समझौता — तेज़ी से महत्वपूर्ण होते जा रहे), और zero-days — खतरे के परिदृश्य की जागरूकता को व्यापक बनाता है।

इन हमले के प्रकारों को जानना डेवलपर्स को खतरों को पहचानने, यह समझने कि विशिष्ट बचाव क्यों मौजूद हैं (injection के विरुद्ध parameterized queries, XSS के विरुद्ध escaping, brute force के विरुद्ध MFA, MITM के विरुद्ध HTTPS), और उपयुक्त सुरक्षाएँ बनाने में सक्षम बनाता है।

चूँकि खतरों के विरुद्ध बचाव के लिए उन्हें समझने की आवश्यकता होती है और हर सामान्य हमले के प्रकार के अनुरूप बचाव होते हैं, और चूँकि प्रमुख हमलों (injection, XSS, CSRF, brute force, phishing, DDoS, supply chain) की जागरूकता सुरक्षित सिस्टम बनाने के लिए बुनियादी है, सामान्य सुरक्षा हमलों को समझना बुनियादी, आवश्यक सुरक्षा ज्ञान है — खतरे की जागरूकता जो सभी रक्षात्मक सुरक्षा के आधार में है, खतरों को पहचानने और यह समझने के लिए आवश्यक कि सुरक्षा उपाय क्यों मौजूद हैं, और किसी भी डेवलपर के लिए एक आधाररेखा जो ऐसे सिस्टम बनाता है जिन्हें सॉफ़्टवेयर का सामना करने वाले निरंतर, विविध हमलों का प्रतिरोध करना होता है।