Как сейчас реально взламывают сайты (в 2024–2025), если SQL-injection и PHP-injection стали редкостью?
Коротко: взломы никуда не делись, просто методы эволюционировали.
Современный взлом почти никогда не связан с классическими SQL-инъекциями. Причины:
- фреймворки используют ORM
- автоматическая экранизация ввода
- WAF блокирует подозрительные запросы
- CI/CD выявляет уязвимости заранее
Но остались другие направления.
1. Атаки на аккаунты админов (самый частый способ)
Не код ломают — человека ломают.
Методы:
Фишинг с доменами-близнецами
Например:admín-panel.com вместо admin-panel.com.
Сбор cookies через похищенные сессии
Если админ переходит по вредной ссылке → токен сессии улетает злоумышленнику.
Слабые пароли / утечки из других сервисов
Многие админы используют один пароль везде.
2. XSS → захват сессии → вход под админом
SQL-инъекций стало мало, а XSS живее всех живых, потому что:
- его трудно обнаружить
- им часто пренебрегают
- даже защищённый backend не спасает от дырки в frontend
Схема:
- Злоумышленник внедряет JS (например, через комментарии).
- Пользователь (или админ!) открывает страницу.
- Скрипт крадёт cookie сессии → отправляет злоумышленнику.
- Хакер входит как админ и меняет сайт.
3. Supply-chain атаки (подмена зависимостей)
Взламывают не сайт → взламывают:
- npm-пакеты
- composer-библиотеки
- docker-образы
- ci/cd pipeline
- github репозитории
Пример:
Подмена зависимости в npm, которая ворует .env файл во время сборки.
4. Загрузка файлов (RCE через изображения, PDF, ZIP)
Даже если:
- загрузка проверяет расширение
- стоит проверка MIME
- стоит антивирус
Всегда остаются варианты:
Polyglot-файлы (картинка + исполняемый код)
Zip Slip
SVG c встроенным JS
Exif с опасными payload
Ghostscript RCE через PDF
Это всё — реальные векторы 2024–2025.
5. Уязвимости в серверах, а не в коде
Apache / Nginx misconfig
Ошибки в конфигурации позволяют:
- обходить
.htaccess - читать скрытые файлы
- выполнять proxy-pass на внутренние сервисы
PHP-FPM bypass
Если неправильно настроен fastcgi_param, можно выполнить PHP-код через .jpg.
6. Adminer / phpMyAdmin / Redis / Elasticsearch
Многие компании забывают закрыть на firewall:
- Adminer
- phpMyAdmin
- Redis
- MongoDB
- Memcached
- Elasticsearch
- Kibana
- RabbitMQ
- Docker API
Их можно прочитать/удалить/использовать без пароля.
7. Ошибки в облачных сервисах (AWS, GCP, Azure)
Частые проблемы:
- открытые S3-бакеты
- публичные ключи в GitHub
- открытые секреты
.env - неправильные IAM-права
- доступ к Kubernetes Dashboard
Это огромный пласт современных взломов.
8. Логические уязвимости (business logic flaws)
Не технические уязвимости, а ошибки в логике, например:
- обход авторизации через POST вместо GET
- манипуляции с параметрами
- неправильная валидация прав
- доступ к данным других пользователей
Это направление активно растёт.
9. API-атаки: обход rate limits, чтение чужих данных
API стал популярнее, и у него появились слабости:
- плохая авторизация
- отсутствие проверок токена
- раскрытие внутренних структур
- возможность перебора ID
10. Zero-day в популярных CMS / фреймворках
Например:
- WordPress plugins
- Drupal modules
- Joomla addons
- Laravel packages
- Node.js libs
90% взломов WordPress — это плагины, а не основная система.
Вывод
Сегодня сайты взламывают:
✔ не SQL-инъекциями
✔ не старым php-учебником
А через:
социнженерию • XSS • цепочки зависимостей • загрузку файлов • API-дыры • открытые сервисы • облачные ошибки
Вам также может понравиться
Легендариум Толкиена становится новой Библией для Запада?
