सामान्य सुरक्षा आक्रमणका किन किसिमहरू छन्?

Question

Accepted Answer

सामान्य **आक्रमण प्रकार** बुझ्ने — कसरी आक्रमणकारीहरूले प्रणालीहरूसँग समझौता गर्न प्रयास गर्छन् — यसको विरुद्ध बचाव गर्नको लागि आधारभूत छ। प्रमुख श्रेणीहरूमा injection, XSS, CSRF, brute force, social engineering, DDoS, र अन्य समावेश छन्।

## वेब अनुप्रयोग आक्रमणहरू

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## प्रमाणीकरण / पहुँच आक्रमणहरू

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## अन्य आक्रमणहरू

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## यो किन महत्त्वपूर्ण छ

सामान्य सुरक्षा आक्रमणका किसिमहरू बुझ्ने आधारभूत छ किनभने **तपाईले बुझ्न नसकेका खतराहरूको विरुद्ध बचाव गर्न सक्नुहुन्न**, त्यसैले आक्रमणकारीहरू कसरी काम गर्छन् भनेर जानु सुरक्षित प्रणालीहरू निर्माण गर्नको लागि आवश्यक छ, यो महत्त्वपूर्ण सुरक्षा ज्ञान बनाउँछ।

आक्रमण प्रकारहरू सम्बन्धी जागरूकता — कसरी आक्रमणकारीहरूले प्रणालीहरूसँग समझौता गर्न प्रयास गर्छन् — बचावको आधार हो, किनभने प्रत्येक आक्रमण प्रकारसँग संगत बचावहरू छन्, र खतराहरू बुझ्नु सुरक्षात्मक उपायहरूलाई प्रेरित र गाइड गर्छ।

**वेब अनुप्रयोग आक्रमणहरू** बुझ्ने — **injection** (इनपुटको माध्यमबाट क्वेरीहरू/आदेशहरूमा हेरफेर गर्ने), **XSS** (पीडितहरूको ब्राउजरहरूमा स्क्रिप्टहरू चलाउने), **CSRF** (लग इन गरेको उपयोगकर्ताको ब्राउजरलाई अनचाहेको अनुरोधहरूमा ठग्याउने), **broken access control** (अनधिकृत संसाधनहरूमा पहुँच गर्ने), र **SSRF** — सबैभन्दा सामान्य अनुप्रयोग-स्तरका खतराहरू कभर गर्छ जुन डेभलपरहरूले बचाव गर्न आवश्यक छ।

**प्रमाणीकरण/पहुँच आक्रमणहरू** बुझ्ने — **brute force** (धेरै पासवर्डहरू प्रयास गर्ने, rate-limiting र MFA द्वारा प्रतिरोधित), **credential stuffing** (रिस गरिएका प्रमाणहरू प्रयोग गर्ने), **session hijacking** (टोकनहरू चोरी गर्ने), र **phishing/social engineering** (मानिसहरूलाई ठग्याउने, किनभने मानिस प्रायः सबैभन्दा कमजोर कडी हो) — कसरी आक्रमणकारीहरूले पहुँचलाई लक्ष्य गर्छन् भनेर कभर गर्छ।

**अन्य आक्रमणहरू** बुझ्ने — **DDoS** (उपलब्धता रोक्नको लागि बाढी गर्ने), **man-in-the-middle** (संचारमा हस्तक्षेप गर्ने, HTTPS द्वारा रोकिएको), malware, **supply chain attacks** (निर्भरताहरूसँग समझौता गर्ने — क्रमशः महत्त्वपूर्ण), र zero-days — खतराको परिदृश्यको जागरूकता विस्तृत गर्छ।

यी आक्रमण प्रकारहरू जान्नु डेभलपरहरूलाई खतराहरू पहिचान गर्न, विशेष बचावहरू किन अस्तित्वमा छन् भनेर बुझ्न सक्षम गर्छ (injection विरुद्ध parametrized queries, XSS विरुद्ध escaping, brute force विरुद्ध MFA, MITM विरुद्ध HTTPS), र उपयुक्त सुरक्षाहरू निर्माण गर्छ।

खतराहरूको विरुद्ध बचाव गर्नु तिनीलाई बुझ्न आवश्यक छ र प्रत्येक सामान्य आक्रमण प्रकारसँग संगत बचावहरू छन् भएकोले, र सामान्य आक्रमणहरू (injection, XSS, CSRF, brute force, phishing, DDoS, supply chain) को जागरूकता सुरक्षित प्रणालीहरू निर्माण गर्नको लागि आधारभूत भएकोले, सामान्य सुरक्षा आक्रमणहरू बुझ्ने आधारभूत, आवश्यक सुरक्षा ज्ञान छ — सभी रक्षात्मक सुरक्षा अन्तर्निहित खतरा जागरूकता, खतराहरू पहिचान गर्न र सुरक्षा उपायहरू किन अस्तित्वमा छन् भनेर बुझ्नको लागि आवश्यक, र कुनै पनि डेभलपरको लागि आधारभूत जुन प्रणालीहरू निर्माण गर्दैछ जुन निरन्तर, विविध आक्रमणहरूको प्रतिरोध गर्न आवश्यक छ।