Топ техник атак на веб-приложения 2025 Вспомнил пароль от ноута после праздников. Теперь можно разобрать прогнозы и тренды. Мой любимый ежегодный рейтинг - "Top 10 web hacking techniques", который составляется сообществом исследователей по инициативе компании Portswigger. В нем собираются материалы, которые несут в себе инновации в области поиска и эксплуатации уязвимостей. Мы уже заглядывали в прошлогодние рейтинги, теперь выделю из списка номинаций то, что показалось мне наиболее интересным. ✨ Промпт-инъекции в ИИ-агенты для генерации или проверки качества кода Возможность внедрения вредоносных инструкций в текст коммитов, тикетов или пулл-реквестов, может заставить агента выполнить привилегированные команды в процессах сборки кода. Сценарий атаки простой в реализации, а поверхность атаки стремительно растет вместе с числом утилит в CI/CD. В 2026 году многие инциденты на Github будут связаны с этим вектором. ✨ Осуществление произвольных запросов через метод CONNECT в HTTP/2 При неправильной конфигурации прокси-сервера атакующий может создать множество CONNECT-запросов к внутренней инфраструктуре. Легким движением руки уязвимый прокси превращается в сканер портов для проведения разведки. ✨ Возвращение атак Zip Slip Новые варианты известной уязвимости, связанной с распаковкой архивов. Напоминание о том, что старые проблемы возвращаются в новых контекстах. Общий тренд, который можно разглядеть за всеми этими исследованиями: атаки смещаются от самих приложений в сторону их инфраструктуры и протоколов. @makrushin