@Sandwich21

Какие уязвимости есть у веб-сервера?

Есть ряд уязвимостей для веб-приложений.
OWASP Топ-10:
1. Внедрение кода
2. Некорректная аутентификация и управление сессией
3. Межсайтовый скриптинг
4. Нарушение контроля доступа
5. Небезопасная конфигурация
6. Утечка чувствительных данных
7. Недостаточная защита от атак
8. Подделка межсайтовых запросов
9. Использование компонентов с известными уязвимостями
10. Незащищенный API
Как я понимаю, не все из этих угроз несут угрозу именно веб-серверу, например SQL-инъекции. Это опасная уязвимость, позволяющая злоумышленнику читать, изменять или удалять информацию в базе данных (то есть субъект атаки – база данных).
Те каждая уязвимость "атакует" свой компонент (например сервер баз данных в случае SQL-инъекции).
И я предполагаю, что и для веб-сервера есть свои уязвимости, те злоумышленнники работают именно с веб-сервером, например DDoS-атаки нацелены именно что бы вывести веб-сервер из строя.
Я прав в своих рассуждениях?
  • Вопрос задан
  • 812 просмотров
Решения вопроса 2
inoise
@inoise Куратор тега Веб-разработка
Solution Architect, AWS Certified, Serverless
Очень поверхностное суждение. Дело в том что сам по себе веб-сервер не несет никакой ценности. Ценность несет приложение и данные, которые он обслуживает. Да, DoS и DDoS атаки нацелены на отказ в обслуживании, но при этом сам веб-сервер не страдает. Эти атаки нацелены на виртуальную машину и ее ресурсы в первую очередь, включая максимальное число соединений.
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Я уже давал ответ по слоям угроз для веб-сервера: https://qna.habr.com/answer?answer_id=1634653

Разницу:
Есть ряд уязвимостей для веб-приложений.
OWASP Топ-10:
и
Как я понимаю, не все из этих угроз несут угрозу именно веб-серверу
понимаете?
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@maclien2
Определение веб-сервера, используемого в тестируемом приложении - это критически важная задача для тестера. Знание типа и версии веб-сервера позволит тестировщику определить, есть ли для этого сервера известные уязвимости и как их эксплуатировать, что в свою очередь может сильно изменить ход тестирования. Подробнее можете прочитать в этом материале
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы