Tres ataques de servidores web muy comunes serían secuencias de comandos entre sitios y Inyección de SQL y Ataques transversales de directorios ( quizás el más común).
Todos estos son muy similares, y si tienen éxito son el resultado de una validación de entrada deficiente.
Si bien estos pueden no poner realmente en riesgo al servidor físico, hay cosas más dolorosas que perder un servidor. Como perder una base de datos llena de información de procesamiento financiero, o PII.
La validación de entrada es probablemente lo más importante para que los desarrolladores de aplicaciones web entiendan.
Incluso una aplicación muy simple, como un script que hace que los archivos estén disponibles para su visualización o descarga, puede ponerlo en riesgo si pasa archivos con una ruta a un script para hacer que el archivo se descargue o se pueda ver, y no No realice ninguna limpieza en las rutas para asegurarse, por ejemplo, de que son relativas y dentro de DOCUMENT_ROOT, entonces podría terminar con un servidor web que estaría muy contento de mostrar su archivo / etc / shadow o la configuración de iptables. , o cualquier otra cosa que viva en un archivo en su servidor.