Apakah jenis serangan keselamatan yang biasa?

Question

Accepted Answer

Memahami **jenis serangan** yang biasa — cara penyerang cuba menjejaskan sistem — adalah asas untuk mempertahankan diri daripadanya. Kategori utama termasuk injection, XSS, CSRF, brute force, kejuruteraan sosial, DDoS, dan banyak lagi.

## Serangan aplikasi web

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## Serangan pengesahan / capaian

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## Serangan lain

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## Mengapa ia penting

Memahami jenis serangan keselamatan yang biasa adalah asas kerana **anda tidak boleh mempertahankan diri daripada ancaman yang anda tidak fahami**, jadi mengetahui cara penyerang beroperasi adalah penting untuk membina sistem yang selamat, menjadikan ini pengetahuan keselamatan yang penting.

Kesedaran tentang jenis serangan — cara penyerang cuba menjejaskan sistem — ialah asas pertahanan, kerana setiap jenis serangan mempunyai pertahanan yang sepadan, dan memahami ancaman memotivasikan dan membimbing langkah perlindungan.

Memahami **serangan aplikasi web** — **injection** (memanipulasi pertanyaan/arahan melalui input), **XSS** (skrip berjalan dalam pelayar mangsa), **CSRF** (memperdaya pelayar pengguna yang log masuk untuk membuat permintaan yang tidak diingini), **broken access control** (mengakses sumber yang tidak dibenarkan), dan **SSRF** — merangkumi ancaman peringkat aplikasi yang paling biasa yang mesti dipertahankan oleh pembangun.

Memahami **serangan pengesahan/capaian** — **brute force** (mencuba banyak kata laluan, ditangani dengan mengehadkan kadar dan MFA), **credential stuffing** (menggunakan kelayakan yang bocor), **session hijacking** (mencuri token), dan **phishing/kejuruteraan sosial** (memperdaya orang, kerana manusia sering merupakan mata rantai paling lemah) — merangkumi cara penyerang menyasarkan capaian.

Memahami **serangan lain** — **DDoS** (membanjiri untuk menyebabkan ketidaktersediaan), **man-in-the-middle** (memintas komunikasi, dicegah oleh HTTPS), perisian hasad, **serangan rantaian bekalan** (menjejaskan kebergantungan — semakin penting), dan zero-day — meluaskan kesedaran tentang landskap ancaman.

Mengetahui jenis serangan ini membolehkan pembangun mengenali ancaman, memahami mengapa pertahanan tertentu wujud (parameterized queries terhadap injection, escaping terhadap XSS, MFA terhadap brute force, HTTPS terhadap MITM), dan membina perlindungan yang sesuai.

Memandangkan mempertahankan diri daripada ancaman memerlukan memahaminya dan setiap jenis serangan biasa mempunyai pertahanan yang sepadan, dan memandangkan kesedaran tentang serangan utama (injection, XSS, CSRF, brute force, phishing, DDoS, rantaian bekalan) adalah asas untuk membina sistem yang selamat, memahami serangan keselamatan yang biasa ialah pengetahuan keselamatan asas yang penting — kesedaran ancaman yang mendasari semua keselamatan defensif, perlu untuk mengenali ancaman dan memahami mengapa langkah keselamatan wujud, dan garis dasar bagi mana-mana pembangun yang membina sistem yang mesti tahan terhadap serangan yang berterusan dan pelbagai yang dihadapi perisian.