Cilat janë llojet e zakonshme të sulmeve të sigurisë?

Question

Accepted Answer

Të kuptosh llojet e zakonshme të **sulmeve** — se si sulmueset përpiqen të komprometojnë sistemet — është themelore për mbrojtjen ndaj tyre. Kategoritë kryesore përfshijnë injeksionin, XSS, CSRF, brute force, inxhinierinë sociale, DDoS, dhe më shumë.

## Sulmet në aplikacione web

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## Sulmet në autentifikimin / aksesin

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## Sulmet e tjera

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## Pse është e rëndësishme

Të kuptosh llojet e zakonshme të sulmeve të sigurisë është themelore sepse **nuk mund të mbrohesh ndaj kërcënimeve që nuk i kupton**, prandaj të njohësh se si veprojnë sulmueset është thelbësor për ndërtimin e sistemeve të sigurt, duke e bërë këtë njohuri të rëndësishme sigurie.

Konscienca për llojet e sulmeve — se si sulmueset përpiqen të komprometojnë sistemet — është themeli i mbrojtjes, pasi çdo lloj sulmi ka mbrojtje përkatëse, dhe të kuptosh kërcënimet motivon dhe udhëzon masat mbrojtëse.

Të kuptosh **sulmet në aplikacione web** — **injeksionin** (manipulimi i kërkesave/komandave përmes inputit), **XSS** (skriptat që ekzekutohen në shfletuesit e viktimave), **CSRF** (bindja e shfletuesit të një përdoruesi të kyçur në kërkesa të padëshiruara), **kontrollin e humbur të aksesat** (qasja në burime të paautorizuara), dhe **SSRF** — mbulesthin kërcënimet më të zakonshme në nivelin e aplikacionit që duhet të mbroheni zhvilluesit.

Të kuptosh **sulmet në autentifikimin/aksesin** — **brute force** (përpjekja për shumë fjalëkalime, kundërshtuar nga kufizimet e shpejtësisë dhe MFA), **credential stuffing** (përdorimi i kredencialeve të rrjedhura), **përplasjen e sesionit** (vjedhja e tokenave), dhe **phishing/inxhinierin sociale** (bindja e njerëzve, pasi njeriu shpesh është halka më e dobët) — mbulesthin se si sulmueset synojnë aksesin.

Të kuptosh **sulmet e tjera** — **DDoS** (përmbytja për të shkaktuar padisponibilitet), **man-in-the-middle** (përgjimi i komunikimit, parandaluar nga HTTPS), malware, **sulmet në zinxhirin e furnizimit** (komprometimi i varësive — gjithnjë më i rëndësishëm), dhe zero-days — zgjerojnë vetëdijen për peizazhin e kërcënimeve.

Të njohësh këto lloje sulmesh u mundëson zhvilluesve të njohësin kërcënimet, të kuptojnë pse ekzistojnë mbrojtje specifike (kërkesa të parametrizuara kundër injeksionit, shpëtimi kundër XSS, MFA kundër brute force, HTTPS kundër MITM), dhe të ndërtojnë mbrojtje të përshtatshme.

Pasi të mbrojesh ndaj kërcënimeve kërkon të i kuptosh ato dhe çdo lloj sulmi i zakonshëm ka mbrojtje përkatëse, dhe pasi vetëdija për sulmet kryesore (injeksioni, XSS, CSRF, brute force, phishing, DDoS, zinxhir furnizimi) është themelore për ndërtimin e sistemeve të sigurt, të kuptosh sulmet e zakonshme të sigurisë është njohuri themelore, thelbësore e sigurisë — vetëdija për kërcënimet që qëndron nën të gjithë sigurinë mbrojtëse, e nevojshme për njohjen e kërcënimeve dhe të kuptimit pse ekzistojnë masat e sigurisë, dhe një bazë për çdo zhvillues që ndërton sisteme të cilat duhet të rezistojnë sulmet konstante, të ndryshme që përballën softueri.