⚙️ Обзор лучших техник атак на веб-приложения в 2025 году Всем привет, на связи Денис Макрушин, директор по продуктам безопасной разработки в SourceCraft, Yandex Infrastructure. Сегодня я хочу погрузиться в Top 10 web hacking techniques — это мой любимый рейтинг. Его составляют в сообществе исследователей инфобеза по инициативе компании Portswigger, чтобы собрать самые важные материалы про инновации в области поиска и эксплуатации уязвимостей. 🕵️ В карточках выше я рассказываю про интересное из списка номинаций. Познакомиться с другими техниками можно тут. Общий тренд, который проглядывается за всеми исследованиями: атаки смещаются от самих приложений в сторону их инфраструктуры и протоколов. Пишите в комментариях, что думаете на этот счёт и как специалистам по информационной безопасности нужно отвечать на эволюцию угроз. ⏩ А вот полезные ссылки: 🟣 Работа с пользовательскими анализаторами в CI 🟣 Список промпт-инъекций 🟣 Запросы через CONNECT в HTTP/2 🟣 Возвращение Zip Slip 🟣 Фундаментальная уязвимость HTTP/1.1 Подписывайтесь: 💬 @Yandex4Security 📹 @YandexForSecurity