Các loại tấn công bảo mật phổ biến là gì?

Question

Accepted Answer

Hiểu các **loại tấn công** phổ biến — cách kẻ tấn công cố gắng xâm phạm hệ thống — là nền tảng để phòng thủ chúng. Các nhóm chính bao gồm injection, XSS, CSRF, brute force, social engineering, DDoS và hơn thế nữa.

## Tấn công ứng dụng web

```text
INJECTION (SQL, command, v.v.) → chèn code độc hại qua đầu vào (thao túng query/command)
XSS (Cross-Site Scripting) → chèn script chạy trong trình duyệt nạn nhân
CSRF (Cross-Site Request Forgery) → lừa trình duyệt của người dùng đã đăng nhập thực hiện
  request không mong muốn (hành động thay họ mà không có sự đồng ý)
BROKEN ACCESS CONTROL → truy cập/sửa đổi thứ bạn không được phép (ví dụ IDOR)
SSRF → lừa server thực hiện request mà nó không nên
```

## Tấn công authentication / truy cập

```text
BRUTE FORCE → thử nhiều mật khẩu/khóa cho đến khi một cái đúng (rate-limit, khóa, MFA)
CREDENTIAL STUFFING → dùng các cặp username/password bị lộ từ các vụ vi phạm khác
SESSION HIJACKING → đánh cắp session tokens/cookies để mạo danh người dùng
PHISHING / SOCIAL ENGINEERING → lừa người tiết lộ credentials/thông tin (con người
  thường là mắt xích yếu nhất)
```

## Các tấn công khác

```text
DDoS (Distributed Denial of Service) → làm ngập hệ thống để khiến nó không khả dụng
MAN-IN-THE-MIDDLE (MITM) → chặn giao tiếp (HTTPS ngăn điều này)
MALWARE / ransomware; tấn công SUPPLY CHAIN (xâm phạm dependencies/build tools)
ZERO-DAY → khai thác lỗ hổng chưa biết/chưa được vá
```

## Tại sao điều này quan trọng

Hiểu các loại tấn công bảo mật phổ biến là nền tảng vì **bạn không thể phòng thủ các mối đe dọa mà bạn không hiểu**, nên biết cách kẻ tấn công hoạt động là thiết yếu để xây dựng hệ thống an toàn, khiến đây là kiến thức bảo mật quan trọng.

Nhận thức về các loại tấn công — cách kẻ tấn công cố gắng xâm phạm hệ thống — là nền tảng của phòng thủ, vì mỗi loại tấn công có các biện pháp phòng thủ tương ứng, và hiểu các mối đe dọa thúc đẩy và hướng dẫn các biện pháp bảo vệ.

Hiểu các **tấn công ứng dụng web** — **injection** (thao túng query/command qua đầu vào), **XSS** (script chạy trong trình duyệt nạn nhân), **CSRF** (lừa trình duyệt của người dùng đã đăng nhập thực hiện request không mong muốn), **broken access control** (truy cập tài nguyên không được phép), và **SSRF** — bao gồm các mối đe dọa cấp ứng dụng phổ biến nhất mà lập trình viên phải phòng thủ.

Hiểu **các tấn công authentication/truy cập** — **brute force** (thử nhiều mật khẩu, đối phó bằng rate-limit và MFA), **credential stuffing** (dùng credentials bị lộ), **session hijacking** (đánh cắp tokens), và **phishing/social engineering** (lừa người, vì con người thường là mắt xích yếu nhất) — bao gồm cách kẻ tấn công nhắm vào truy cập.

Hiểu **các tấn công khác** — **DDoS** (làm ngập để gây không khả dụng), **man-in-the-middle** (chặn giao tiếp, được ngăn bởi HTTPS), malware, **tấn công supply chain** (xâm phạm dependencies — ngày càng quan trọng), và zero-days — mở rộng nhận thức về bối cảnh mối đe dọa.

Biết các loại tấn công này cho phép lập trình viên nhận ra mối đe dọa, hiểu tại sao các biện pháp phòng thủ cụ thể tồn tại (parameterized queries chống injection, escaping chống XSS, MFA chống brute force, HTTPS chống MITM), và xây dựng các biện pháp bảo vệ phù hợp.

Vì phòng thủ các mối đe dọa đòi hỏi hiểu chúng và mỗi loại tấn công phổ biến có các biện pháp phòng thủ tương ứng, và vì nhận thức về các tấn công chính (injection, XSS, CSRF, brute force, phishing, DDoS, supply chain) là nền tảng để xây dựng hệ thống an toàn, nên hiểu các tấn công bảo mật phổ biến là kiến thức bảo mật nền tảng, thiết yếu — nhận thức về mối đe dọa nằm dưới mọi bảo mật phòng thủ, cần thiết để nhận ra mối đe dọa và hiểu tại sao các biện pháp bảo mật tồn tại, và là chuẩn cơ bản cho bất kỳ lập trình viên nào xây dựng hệ thống phải chống lại các tấn công liên tục, đa dạng mà phần mềm đối mặt.