Коротко: взломы никуда не делись, просто методы эволюционировали.

Современный взлом почти никогда не связан с классическими SQL-инъекциями. Причины:

фреймворки используют ORM
автоматическая экранизация ввода
WAF блокирует подозрительные запросы
CI/CD выявляет уязвимости заранее

Но остались другие направления.

1. Атаки на аккаунты админов (самый частый способ)

Не код ломают — человека ломают.

Методы:

Фишинг с доменами-близнецами

Например:
admín-panel.com вместо admin-panel.com.

Сбор cookies через похищенные сессии

Если админ переходит по вредной ссылке → токен сессии улетает злоумышленнику.

Слабые пароли / утечки из других сервисов

Многие админы используют один пароль везде.

2. XSS → захват сессии → вход под админом

SQL-инъекций стало мало, а XSS живее всех живых, потому что:

его трудно обнаружить
им часто пренебрегают
даже защищённый backend не спасает от дырки в frontend

Схема:

Злоумышленник внедряет JS (например, через комментарии).
Пользователь (или админ!) открывает страницу.
Скрипт крадёт cookie сессии → отправляет злоумышленнику.
Хакер входит как админ и меняет сайт.

3. Supply-chain атаки (подмена зависимостей)

Взламывают не сайт → взламывают:

npm-пакеты
composer-библиотеки
docker-образы
ci/cd pipeline
github репозитории

Пример:
Подмена зависимости в npm, которая ворует .env файл во время сборки.

4. Загрузка файлов (RCE через изображения, PDF, ZIP)

Даже если:

загрузка проверяет расширение
стоит проверка MIME
стоит антивирус

Всегда остаются варианты:

Polyglot-файлы (картинка + исполняемый код)

Zip Slip

SVG c встроенным JS

Exif с опасными payload

Ghostscript RCE через PDF

Это всё — реальные векторы 2024–2025.

5. Уязвимости в серверах, а не в коде

Apache / Nginx misconfig

Ошибки в конфигурации позволяют:

обходить .htaccess
читать скрытые файлы
выполнять proxy-pass на внутренние сервисы

PHP-FPM bypass

Если неправильно настроен fastcgi_param, можно выполнить PHP-код через .jpg.

6. Adminer / phpMyAdmin / Redis / Elasticsearch

Многие компании забывают закрыть на firewall:

Adminer
phpMyAdmin
Redis
MongoDB
Memcached
Elasticsearch
Kibana
RabbitMQ
Docker API

Их можно прочитать/удалить/использовать без пароля.

7. Ошибки в облачных сервисах (AWS, GCP, Azure)

Частые проблемы:

открытые S3-бакеты
публичные ключи в GitHub
открытые секреты .env
неправильные IAM-права
доступ к Kubernetes Dashboard

Это огромный пласт современных взломов.

8. Логические уязвимости (business logic flaws)

Не технические уязвимости, а ошибки в логике, например:

обход авторизации через POST вместо GET
манипуляции с параметрами
неправильная валидация прав
доступ к данным других пользователей

Это направление активно растёт.

9. API-атаки: обход rate limits, чтение чужих данных

API стал популярнее, и у него появились слабости:

плохая авторизация
отсутствие проверок токена
раскрытие внутренних структур
возможность перебора ID

10. Zero-day в популярных CMS / фреймворках

Например:

WordPress plugins
Drupal modules
Joomla addons
Laravel packages
Node.js libs

90% взломов WordPress — это плагины, а не основная система.

Вывод

Сегодня сайты взламывают:

✔ не SQL-инъекциями
✔ не старым php-учебником

А через:

социнженерию • XSS • цепочки зависимостей • загрузку файлов • API-дыры • открытые сервисы • облачные ошибки