Есть ряд уязвимостей для веб-приложений.
OWASP Топ-10:
1. Внедрение кода
2. Некорректная аутентификация и управление сессией
3. Межсайтовый скриптинг
4. Нарушение контроля доступа
5. Небезопасная конфигурация
6. Утечка чувствительных данных
7. Недостаточная защита от атак
8. Подделка межсайтовых запросов
9. Использование компонентов с известными уязвимостями
10. Незащищенный API
Как я понимаю, не все из этих угроз несут угрозу именно веб-серверу, например SQL-инъекции. Это опасная уязвимость, позволяющая злоумышленнику читать, изменять или удалять информацию в базе данных (то есть субъект атаки – база данных).
Те каждая уязвимость "атакует" свой компонент (например сервер баз данных в случае SQL-инъекции).
И я предполагаю, что и для веб-сервера есть свои уязвимости, те злоумышленнники работают именно с веб-сервером, например DDoS-атаки нацелены именно что бы вывести веб-сервер из строя.
Я прав в своих рассуждениях?
Очень поверхностное суждение. Дело в том что сам по себе веб-сервер не несет никакой ценности. Ценность несет приложение и данные, которые он обслуживает. Да, DoS и DDoS атаки нацелены на отказ в обслуживании, но при этом сам веб-сервер не страдает. Эти атаки нацелены на виртуальную машину и ее ресурсы в первую очередь, включая максимальное число соединений.