🕷 Топ-10 техник взлома веб-приложений в 2025 году В начале января PortSwigger запустил ежегодное голосование за лучшие техники веб-взлома. Проекту уже 19 лет — его начали Jeremiah Grossman и Matt Johansen ещё в 2006-м, а с 2017 года эстафету подхватил PortSwigger. Суть: сообщество собирает исследования, которые не просто описывают одну уязвимость, а дают переиспользуемые техники. Log4Shell забудут, а JNDI Injection останется. 📆 В этом году номинировано 60+ исследований: 🟠 Request Smuggling нового поколения — HTTP/1.1 must die от James Kettle и Funky chunks с новыми EXT.TERM примитивами 🟠 OAuth/SAML атаки — The Fragile Lock (SAML bypass через void canonicalization), обходы PKCE и BFF 🟠 XSS-эволюция — DOM clobbering + DOMPurify bypass, toString gadget chains, Self-XSS через credentialless iframes 🟠 Эксфильтрация без JS — CSS ligatures (Fontleak), SVG-фильтры для чтения пикселей cross-origin 🟠 AI в атаках — prompt injection в GitHub Actions для supply chain ⏳ Таймлайн: ➡️ До 22 января — голосование ➡️ ~3 февраля — публикация топ-10