سیکیورٹی کے عام حملے کی اقسام کیا ہیں؟

Question

Accepted Answer

عام **حملے کی اقسام** کو سمجھنا — کہ حملہ آور سسٹمز کو کس طرح خطرے میں ڈالنے کی کوشش کرتے ہیں — ان کے خلاف دفاع کی بنیاد ہے۔ بڑی اقسام میں injection، XSS، CSRF، brute force، social engineering، DDoS، اور مزید شامل ہیں۔

## ویب ایپلیکیشن کے حملے

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## تصدیق / رسائی کے حملے

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## دیگر حملے

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## اہمیت

سیکیورٹی کے عام حملوں کی اقسام کو سمجھنا بنیادی ہے کیونکہ **آپ ان خطرات کے خلاف دفاع نہیں کر سکتے جو آپ سمجھتے نہیں ہیں**، اس لیے حملہ آور کس طرح کام کرتے ہیں یہ جاننا محفوظ سسٹمز بنانے کے لیے ضروری ہے، جو اہم سیکیورٹی علم بناتا ہے۔

حملے کی اقسام کی شعور — کہ حملہ آور سسٹمز کو کس طرح خطرے میں ڈالنے کی کوشش کرتے ہیں — دفاع کی بنیاد ہے، کیونکہ ہر حملے کی قسم کے مطابقی دفاعات ہوتے ہیں، اور خطرات کو سمجھنا حفاظتی اقدامات کو متاثر کرتا ہے اور انہیں سمت دیتا ہے۔

**ویب ایپلیکیشن کے حملوں** کو سمجھنا — **injection** (ان پٹ کے ذریعے queries/commands میں ہیرا پھیری)، **XSS** (متاثرین کے براؤزرز میں scripts چلانا)، **CSRF** (منطقی صارف کے براؤزر کو ناپسندیدہ درخواستوں میں دھوکا دینا)، **broken access control** (غیر مجاز وسائل تک رسائی)، اور **SSRF** — سب سے عام ایپلیکیشن کی سطح کے خطرات کا احاطہ کرتا ہے جن کے خلاف ڈویلپرز کو دفاع کرنا چاہیے۔

**تصدیق/رسائی کے حملوں** کو سمجھنا — **brute force** (بہت سے پاس ورڈ کی کوشش، rate-limiting اور MFA سے روکا جاتا ہے)، **credential stuffing** (لیکڈ کریڈینشلز استعمال کرنا)، **session hijacking** (ٹوکنز چرانا)، اور **phishing/social engineering** (لوگوں کو دھوکا دینا، کیونکہ انسان اکثر سب سے کمزور ربط ہوتا ہے) — رسائی پر حملوں کا احاطہ کرتا ہے۔

**دیگر حملوں** کو سمجھنا — **DDoS** (دستیاب نہ ہونے کے لیے سیلاب)، **man-in-the-middle** (مواصلات میں مداخلت، HTTPS سے روکا جاتا ہے)، malware، **supply chain attacks** (منحصرات کو خطرے میں ڈالنا — بہت اہم)، اور zero-days — خطرے کے نقطہ نظر کو وسیع کرتا ہے۔

یہ حملے کی اقسام جاننا ڈویلپرز کو خطرات کو پہچاننے، یہ سمجھنے کے لیے قابل بناتا ہے کہ مخصوص دفاعات کیوں موجود ہیں (injection کے خلاف parameterized queries، XSS کے خلاف escaping، brute force کے خلاف MFA، MITM کے خلاف HTTPS)، اور مناسب حفاظت بنانا۔

کیونکہ خطرات کے خلاف دفاع کے لیے انہیں سمجھنا ضروری ہے اور ہر عام حملے کی قسم کے مطابقی دفاعات ہوتے ہیں، اور کیونکہ بڑے حملوں (injection، XSS، CSRF، brute force، phishing، DDoS، supply chain) کی شعور محفوظ سسٹمز بنانے کے لیے بنیادی ہے، سیکیورٹی کے عام حملوں کو سمجھنا بنیادی، ضروری سیکیورٹی علم ہے — خطرے کی شعور جو تمام دفاعی سیکیورٹی کے نیچے ہے، خطرات کو پہچاننے اور یہ سمجھنے کے لیے ضروری ہے کہ سیکیورٹی کے اقدامات کیوں موجود ہیں، اور کسی بھی ڈویلپر کے لیے بنیادی ہے جو ایسے سسٹمز بنا رہا ہے جو مسلسل، متنوع حملوں کا مقابلہ کرنے کے قابل ہوں۔