Hiểu các loại tấn công phổ biến — cách kẻ tấn công cố gắng xâm phạm hệ thống — là nền tảng để phòng thủ chúng. Các nhóm chính bao gồm injection, XSS, CSRF, brute force, social engineering, DDoS và hơn thế nữa.
Tấn công ứng dụng web
INJECTION (SQL, command, v.v.) → chèn code độc hại qua đầu vào (thao túng query/command)
XSS (Cross-Site Scripting) → chèn script chạy trong trình duyệt nạn nhân
CSRF (Cross-Site Request Forgery) → lừa trình duyệt của người dùng đã đăng nhập thực hiện
request không mong muốn (hành động thay họ mà không có sự đồng ý)
BROKEN ACCESS CONTROL → truy cập/sửa đổi thứ bạn không được phép (ví dụ IDOR)
SSRF → lừa server thực hiện request mà nó không nên
