Какие существуют распространённые типы атак безопасности?

Question

Accepted Answer

Понимание распространённых **типов атак** — способов, которыми злоумышленники пытаются скомпрометировать системы — является основополагающим для защиты от них. Основные категории включают инъекции, XSS, CSRF, перебор паролей, социальную инженерию, DDoS и многое другое.

## Атаки на веб-приложения

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## Атаки на аутентификацию и доступ

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## Другие атаки

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## Почему это важно

Понимание распространённых типов атак безопасности является основополагающим, потому что **нельзя защищаться от угроз, которые вы не понимаете**, поэтому знание того, как действуют злоумышленники, необходимо для создания безопасных систем, что делает это важным знанием в области безопасности.

Осведомлённость о типах атак — способах, которыми злоумышленники пытаются скомпрометировать системы — является основой защиты, так как каждый тип атаки имеет соответствующие средства защиты, и понимание угроз мотивирует и направляет защитные меры.

Понимание **атак на веб-приложения** — **инъекций** (манипулирование запросами и командами через входные данные), **XSS** (выполнение скриптов в браузерах жертв), **CSRF** (обман браузера авторизованного пользователя на отправку нежелательных запросов), **нарушения контроля доступа** (доступ к несанкционированным ресурсам) и **SSRF** — охватывает наиболее распространённые угрозы на уровне приложений, которые должны защищать разработчики.

Понимание **атак на аутентификацию и доступ** — **перебора паролей** (попытка многих паролей, противодействие через rate-limiting и MFA), **подстановки учётных данных** (использование утёкших учётных данных), **перехвата сессий** (кража токенов) и **фишинга/социальной инженерии** (обман людей, так как человек часто является самым слабым звеном) — охватывает то, как злоумышленники нацеливаются на доступ.

Понимание **других атак** — **DDoS** (насыщение трафиком для вызова недоступности), **man-in-the-middle** (перехват коммуникации, предотвращение через HTTPS), вредоноса, **атак на цепь поставок** (компрометирование зависимостей — всё более важно) и zero-days — расширяет осведомлённость о ландшафте угроз.

Знание этих типов атак позволяет разработчикам распознавать угрозы, понимать, почему существуют конкретные защиты (параметризованные запросы против инъекций, экранирование против XSS, MFA против перебора паролей, HTTPS против MITM) и строить надлежащую защиту.

Поскольку защита от угроз требует их понимания, каждый распространённый тип атаки имеет соответствующие защиты, и так как осведомлённость об основных атаках (инъекции, XSS, CSRF, перебор паролей, фишинг, DDoS, атаки на цепь поставок) является основополагающей для создания безопасных систем, понимание распространённых атак безопасности является основополагающим, необходимым знанием в области безопасности — осведомлённостью об угрозах, лежащей в основе всей защитной безопасности, необходимой для распознавания угроз и понимания причин существования мер безопасности, и базовым знанием для любого разработчика, создающего системы, которые должны противостоять постоянным и разнообразным атакам, с которыми сталкивается программное обеспечение.