Ataques en la web del lado del servidor

1

¿Qué tipos de ataques son específicos para el servidor web, pero no para el cliente? Por lo que he encontrado en la Web, la mayoría de los ataques se centran en el lado del cliente en lugar del lado del servidor.

    
pregunta Curious 10.10.2018 - 23:42
fuente

4 respuestas

1

Solo mirando el Top 10 de OWASP , la mayoría los problemas son del lado del servidor:

  • Inyección A1: Inyección de SQL, Inyección de comandos, etc.
  • A2 autenticación rota
  • Exposición a datos sensibles de A3
  • A4 XXE
  • Control de acceso roto A5 (OWASP coloca, por ejemplo, el recorrido del directorio aquí, así como IDOR, escalada de privilegios, etc.)
  • Error de configuración de la seguridad A6 (principalmente del lado del servidor)
  • Deserialización insegura de A8
  • A9 que usa componentes con vulnerabilidades conocidas (principalmente del lado del servidor)
  • A10 Registro insuficiente & Seguimiento

También enumeran algunos problemas del lado del servidor en "Riesgos adicionales a considerar", como la carga de archivos sin restricciones, el DOS a nivel de la aplicación o SSRF.

El único problema que podría clasificarse como sitio de cliente es:

  • A7 XSS

Sin embargo, OWASP no enumera muchos problemas del sitio del cliente. Algunos, como CSRF, Open Redirect o Clickjacking se enumeran bajo riesgos adicionales. OWASP también coloca algunos problemas que son explotados del lado del cliente en las categorías anteriores (por ejemplo, problemas CORS bajo control de acceso interrumpido).

Tenga en cuenta también que mientras XSS a menudo se considera un problema del lado del cliente, clasificación no es tan fácil, ya que la vulnerabilidad en sí misma se presenta principalmente en el lado del servidor.

    
respondido por el tim 11.10.2018 - 08:26
fuente
0

Una inyección SQL sería un ejemplo de un ataque del lado del servidor porque el código que se "inyecta" se ejecuta en el servidor SQL.

    
respondido por el Vincent Chu 11.10.2018 - 00:17
fuente
0

Hay varios ataques que varían de forma CSRF, DDOS, desfiguración del sitio web, etc. El mejor lugar para tener una idea de los ataques principales es el sitio del proyecto OWASP (Proyecto de seguridad de aplicaciones web abiertas):

enlace

Actualizan y mantienen las principales amenazas y recomendaciones sobre mitigación. Puede referirse a las 10 amenazas principales en el siguiente enlace desde el sitio del proyecto:

enlace

    
respondido por el Sayan 11.10.2018 - 02:14
fuente
0

Exploit Db también puede darle una idea acerca de las vulnerabilidades del lado del cliente y del servidor. Su sección Explotaciones de aplicaciones web podría ser útil para usted. Por lo tanto, puede tener una idea sobre los tipos de ataque. Buscaría vulnerabilidades encontradas tanto en el lado del cliente como en el marco del lado del servidor. Para los marcos del lado del servidor (back-end); Puede consultar Exploit-DB y también en otros sitios web con las palabras clave de los marcos del lado del servidor; Ejemplo: ASP.NET, Ruby On Rails, PHP.

    
respondido por el Pilfility 11.10.2018 - 10:26
fuente

Lea otras preguntas en las etiquetas