Quais são os tipos comuns de ataques de segurança?

Question

Accepted Answer

Entender os **tipos de ataque** comuns — como os invasores tentam comprometer sistemas — é fundamental para se defender contra eles. As categorias principais incluem injeção, XSS, CSRF, força bruta, engenharia social, DDoS e muito mais.

## Ataques de aplicações web

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## Ataques de autenticação / acesso

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## Outros ataques

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## Por que isso importa

Entender os tipos comuns de ataques de segurança é fundamental porque **você não pode se defender contra ameaças que não compreende**, portanto, saber como os invasores operam é essencial para construir sistemas seguros, tornando esse conhecimento de segurança importante.

A conscientização sobre tipos de ataque — como os invasores tentam comprometer sistemas — é a base da defesa, já que cada tipo de ataque tem defesas correspondentes, e entender as ameaças motiva e orienta as medidas protetivas.

Entender os **ataques de aplicações web** — **injeção** (manipulando consultas/comandos via entrada), **XSS** (scripts executados nos navegadores das vítimas), **CSRF** (enganando o navegador de um usuário conectado para fazer requisições indesejadas), **controle de acesso quebrado** (acessando recursos não autorizados) e **SSRF** — abrange as ameaças mais comuns em nível de aplicação que os desenvolvedores devem se defender.

Entender **ataques de autenticação/acesso** — **força bruta** (tentando muitas senhas, contraposto por rate-limiting e MFA), **credential stuffing** (usando credenciais vazadas), **roubo de sessão** (roubando tokens) e **phishing/engenharia social** (enganando pessoas, já que o ser humano é frequentemente o elo mais fraco) — abrange como os invasores miram no acesso.

Entender **outros ataques** — **DDoS** (inundação para causar indisponibilidade), **man-in-the-middle** (interceptando comunicação, prevenido por HTTPS), malware, **ataques à cadeia de suprimentos** (comprometendo dependências — cada vez mais importante) e zero-days — amplia a conscientização sobre o cenário de ameaças.

Conhecer esses tipos de ataque permite aos desenvolvedores reconhecer ameaças, entender por que defesas específicas existem (consultas parametrizadas contra injeção, escaping contra XSS, MFA contra força bruta, HTTPS contra MITM) e construir proteções apropriadas.

Como se defender contra ameaças requer compreendê-las e cada tipo de ataque comum tem defesas correspondentes, e como a conscientização sobre os principais ataques (injeção, XSS, CSRF, força bruta, phishing, DDoS, cadeia de suprimentos) é fundamental para construir sistemas seguros, entender ataques de segurança comuns é conhecimento de segurança fundamental e essencial — a conscientização sobre ameaças que sustenta toda a segurança defensiva, necessária para reconhecer ameaças e entender por que as medidas de segurança existem, e uma linha de base para qualquer desenvolvedor construindo sistemas que devem resistir aos ataques constantes e variados que o software enfrenta.