¿Qué tipos de ataques son específicos para el servidor web, pero no para el cliente? Por lo que he encontrado en la Web, la mayoría de los ataques se centran en el lado del cliente en lugar del lado del servidor.
Solo mirando el Top 10 de OWASP , la mayoría los problemas son del lado del servidor:
También enumeran algunos problemas del lado del servidor en "Riesgos adicionales a considerar", como la carga de archivos sin restricciones, el DOS a nivel de la aplicación o SSRF.
El único problema que podría clasificarse como sitio de cliente es:
Sin embargo, OWASP no enumera muchos problemas del sitio del cliente. Algunos, como CSRF, Open Redirect o Clickjacking se enumeran bajo riesgos adicionales. OWASP también coloca algunos problemas que son explotados del lado del cliente en las categorías anteriores (por ejemplo, problemas CORS bajo control de acceso interrumpido).
Tenga en cuenta también que mientras XSS a menudo se considera un problema del lado del cliente, clasificación no es tan fácil, ya que la vulnerabilidad en sí misma se presenta principalmente en el lado del servidor.
Una inyección SQL sería un ejemplo de un ataque del lado del servidor porque el código que se "inyecta" se ejecuta en el servidor SQL.
Hay varios ataques que varían de forma CSRF, DDOS, desfiguración del sitio web, etc. El mejor lugar para tener una idea de los ataques principales es el sitio del proyecto OWASP (Proyecto de seguridad de aplicaciones web abiertas):
Actualizan y mantienen las principales amenazas y recomendaciones sobre mitigación. Puede referirse a las 10 amenazas principales en el siguiente enlace desde el sitio del proyecto:
Exploit Db también puede darle una idea acerca de las vulnerabilidades del lado del cliente y del servidor. Su sección Explotaciones de aplicaciones web podría ser útil para usted. Por lo tanto, puede tener una idea sobre los tipos de ataque. Buscaría vulnerabilidades encontradas tanto en el lado del cliente como en el marco del lado del servidor. Para los marcos del lado del servidor (back-end); Puede consultar Exploit-DB y también en otros sitios web con las palabras clave de los marcos del lado del servidor; Ejemplo: ASP.NET, Ruby On Rails, PHP.