Attacchi sul Web lato server

1

Quali tipi di attacchi sono specifici per il web lato server, ma non sul lato client? Da quello che ho trovato sul Web, la maggior parte degli attacchi si focalizza sul lato client piuttosto che sul lato server.

    
posta Curious 10.10.2018 - 23:42
fonte

4 risposte

1

Basta guardare il OWASP Top 10 , la maggior parte i problemi sono lato server:

  • A1 Iniezione: SQL Injection, Command Injection, ecc.
  • A2 Autenticazione interrotta
  • Esposizione ai dati sensibili A3
  • A4 XXE
  • A5 Broken Access Control (OWASP pone qui, ad esempio, l'attraversamento di directory, oltre a IDOR, escalation di privilegi, ecc.)
  • A6 Configurazione errata della sicurezza (principalmente lato server)
  • A8 Deserializzazione non sicura
  • A9 Utilizzo di componenti con vulnerabilità note (principalmente lato server)
  • A10 Insufficiente registrazione e amp; Monitoraggio

Elenca anche alcuni problemi lato server in "Rischi aggiuntivi da considerare" come il caricamento illimitato di file, il DOS a livello di applicazione o SSRF.

L'unico problema che potrebbe essere classificato come sito client è:

  • A7 XSS

Tuttavia, OWASP non elenca molti problemi relativi al sito client. Alcuni, come CSRF, Open Redirect o Clickjacking sono elencati sotto ulteriori rischi. OWASP pone anche alcuni problemi che vengono sfruttati sul lato client nelle categorie di cui sopra (ad esempio problemi CORS in controllo di accesso non funzionante).

Si noti inoltre che mentre XSS è spesso considerato un problema lato client, classificazione non è così facile, poiché la vulnerabilità stessa è per lo più introdotta sul lato server.

    
risposta data 11.10.2018 - 08:26
fonte
0

Un'iniezione SQL sarebbe un esempio di attacco sul lato server perché il codice "iniettato" viene eseguito sul server SQL.

    
risposta data 11.10.2018 - 00:17
fonte
0

Ci sono diversi attacchi che variano da CSRF, DDOS, defacement del sito Web, ecc. Il posto migliore per avere un'idea degli attacchi migliori è il sito del progetto OWASP (Open Web Application Security Project):

link

Aggiornano e mantengono le principali minacce e raccomandazioni sulla mitigazione. Puoi fare riferimento alle 10 principali minacce sul seguente link dal sito del progetto:

link

    
risposta data 11.10.2018 - 02:14
fonte
0

Exploit Db può anche darti un'idea delle vulnerabilità lato client e lato server. La sezione Sfruttamento di applicazioni Web potrebbe essere utile per te. Pertanto, potresti avere un'idea dei tipi di attacco. Vorrei cercare le vulnerabilità riscontrate sia nel lato client che nei framework lato server. Per framework lato server (back-end); È possibile controllare Exploit-DB e anche in altri siti Web con le parole chiave dei framework lato server; Esempio: ASP.NET, Ruby On Rails, PHP.

    
risposta data 11.10.2018 - 10:26
fonte

Leggi altre domande sui tag