흔한 공격 유형 — 공격자가 시스템을 침해하려는 방식 — 을 이해하는 것은 그것을 방어하는 데 기초가 됩니다. 주요 카테고리에는 injection, XSS, CSRF, 무차별 대입(brute force), 사회공학, DDoS 등이 포함됩니다.
웹 애플리케이션 공격
text
INJECTION (SQL, command 등) → 입력을 통해 악성 코드 주입(쿼리/명령 조작)
XSS (Cross-Site Scripting) → 피해자의 브라우저에서 실행되는 스크립트 주입
CSRF (Cross-Site Request Forgery) → 로그인한 사용자의 브라우저를 속여 원치 않는
요청을 하게 함(동의 없이 그들로서 작업 수행)
BROKEN ACCESS CONTROL → 권한이 없는 것에 접근/수정(예: IDOR)
SSRF → 서버를 속여 해선 안 되는 요청을 하게 함
Authentication / 접근 공격
text
BRUTE FORCE → 하나가 통할 때까지 많은 password/키 시도(rate-limit, 잠금, MFA)
CREDENTIAL STUFFING → 다른 침해에서 유출된 사용자명/password 쌍 사용
SESSION HIJACKING → session token/쿠키를 훔쳐 사용자를 가장
PHISHING / 사회공학 → 사람을 속여 자격 증명/정보를 노출하게 함(사람이 흔히 가장
약한 고리)