பொதுவான பாதுகாப்பு தாக்குதলின் வகைகள் என்ன?

Question

Accepted Answer

பொதுவான **தாக்குதல் வகைகள்** — தாக்குபவர்கள் அமைப்புகளைச் சமரசம் செய்ய எவ்வாறு முயல்கிறார்கள் — அவற்றுக்கு எதிராக பாதுகாப்பு அளிக்க அடிப்படையாக உள்ளது. முக்கிய வகைகளில் injection, XSS, CSRF, brute force, social engineering, DDoS, மற்றும் பலவை அন்தர்ভুक்தம்.

## Web application தாக்குதலுகள்

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## Authentication / access தாக்குதலுகள்

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## பிற தாக்குதலுகள்

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## இது ஏன் முக்கியமானது

பொதுவான பாதுகாப்பு தாக்குதல் வகைகளைப் புரிந்துகொள்வது அடிப்படையாக உள்ளது, ஏனெனில் **நீங்கள் புரிந்து கொள்ளாத அச்சுறுத்தல்களுக்கு எதிராக பாதுகாப்பு அளிக்க முடியாது**, எனவே தாக்குபவர்கள் எவ்வாறு செயல்படுகிறார்கள் என்பதை அறிவது பாதுரக்ષண அமைப்புகளை உருவாக்குவதற்கு இன்றியமையாதது, இது முக்கியமான பாதுகாப்பு அறிவைச் செய்கிறது.

தாக்குதல் வகைகளைப் பற்றிய விழிப்புணர்வு — தாக்குபவர்கள் அமைப்புகளைச் சமரசம் செய்ய எவ்வாறு முயல்கிறார்கள் — பாதுகாப்பின் அடிப்படை, ஏனெனில் ஒவ்வொரு தாக்குதல் வகைக்கும் தொடர்புடைய பாதுகாப்பு நடவடிக்கைகள் உள்ளன, மேலும் அச்சுறுத்தல்களைப் புரிந்துகொள்வது பாதுகாப்பு நடவடிக்கைகளைத் தூண்டுகிறது மற்றும் வழிநடத்துகிறது.

**Web application தாக்குதலுகள்** ஐப் புரிந்துகொள்வது — **injection** (உள்ளீட்டின் மூலம் வினவல்/கட்டளைகளைக் கையாளுதல்), **XSS** (பாதிக்கப்பட்டவர்களின் உலாவிகளில் scripts இயங்குதல்), **CSRF** (log-in செய்தப் பயனரின் உலாவியைத் தகவிக்கப்பட்ட கோரிக்கைகளுக்குத் தந்திரமாய்ப் புரட்டுதல்), **broken access control** (அங்கீகரிக்கப்படாத வளங்களை அணுகுதல்), மற்றும் **SSRF** — மிகவும் பொதுவான application-level அச்சுறுத்தல்கள் developer களை எதிர்கொள்ள வேண்டிய பாதுகாப்பை கொண்டிருக்கிறது.

**Authentication/access தாக்குதலுகள்** ஐப் புரிந்துகொள்வது — **brute force** (பல கடவுச்சொற்களை முயற்சி செய்தல், rate-limiting மற்றும் MFA மூலம் எதிர்கொள்ளப்படுகிறது), **credential stuffing** (கசிந்த credentials ஐ பயன்படுத்துதல்), **session hijacking** (tokens களை திருடுதல்), மற்றும் **phishing/social engineering** (மানুஷ்யர்களைத் தந்திரமாய்க் குறிப்பிடுதல், மனிதர் பெரும்பாலும் பலவீனமான இணைப்பு என்பதால்) — access க்கு எதிராக தாக்குபவர்கள் எவ்வாறு targeted செய்கிறார்கள் என்பதை கொண்டிருக்கிறது.

**பிற தாக்குதலுகள்** ஐப் புரிந்துகொள்வது — **DDoS** (கிடைக்கத்தன்மை மூலம் தேவாமை ஏற்படுத்தல்), **man-in-the-middle** (communication ஐத் தடுத்துக் கொள்ளுதல், HTTPS மூலம் தடுக்கப்படுகிறது), malware, **supply chain attacks** (dependencies களை சமரசம் செய்தல் — ক্রমமாக முக்கியமாக இருக்கிறது), மற்றும் zero-days — அச்சுறுத்தல் landscape இன் விழிப்புணர்வை விரிவுபடுத்துகிறது.

இந்த தாக்குதல் வகைகளை அறிவது developers க்கு அச்சுறுத்தல்களை அறிய அனுமதிக்கிறது, குறிப்பிட்ட பாதுகாப்பு நடவடிக்கைகள் ஏன் உள்ளன என்பதை புரிந்து கொள்ளுதல் (injection க்கு எதிரான parameterized queries, XSS க்கு எதிரான escaping, brute force க்கு எதிரான MFA, MITM க்கு எதிரான HTTPS), மற்றும் பொருத்தமான பாதுகாப்பை உருவாக்குதல்.

அச்சுறுத்தல்களுக்கு எதிராக பாதுகாப்பு அளிப்பது அவற்றைப் புரிந்து கொள்ளுதல் தேவை என்றாலும், மற்றும் ஒவ்வொரு பொதுவான தாக்குதல் வகைக்கும் தொடர்புடைய பாதுகாப்பு நடவடிக்கைகள் உள்ளன, மற்றும் பிரதான தாக்குதல்கள் (injection, XSS, CSRF, brute force, phishing, DDoS, supply chain) பற்றிய விழிப்புணர்வு பாதுரக்ஷண அமைப்புகளை உருவாக்குவதற்கு அடிப்படையாக இருக்கிறது, பொதுவான பாதுகாப்பு தாக்குதல்களைப் புரிந்துகொள்வது அடிப்படையாக, இன்றியமையாத பாதுகாப்பு அறிவு — அனைத்து பாதுரக்ஷணமான பாதுகாப்பின் அடிப்படையாக உள்ள அச்சுறுத்தல் விழிப்புணர்வு, அச்சுறுத்தல்களை அறிய மற்றும் பாதுகாப்பு நடவடிக்கைகள் ஏன் உள்ளன என்பதை புரிந்து கொள்ள இன்றியமையாதது, மற்றும் software எதிர்கொள்ளும் நிரந்தர, பல்வேறு தாக்குதல்களை எதிர்கொள்ள வேண்டிய கட்ட மாணிய அமைப்புகளை உருவாக்கும் எந்த developer க்கும் baseline.