🧩 OWASP
Безопасность популярных технологий и фреймворков
Безопасность Node.js
Безопасность серверных приложений на Node.js: зависимости, асинхронные ошибки, заголовки и работа с секретами.
🧩 OWASP
Безопасность популярных технологий и фреймворков
Безопасность REST
Проектирование и эксплуатация защищённых REST-сервисов: версии, методы, кэш и согласованная модель доступа.
🧩 OWASP
Безопасность популярных технологий и фреймворков
Безопасность SAML
Безопасная интеграция SAML SSO: подпись и шифрование утверждений, метаданные и защита от подмены и replay.
🧩 OWASP
Безопасность популярных технологий и фреймворков
Безопасность WebSocket
Безопасность WebSocket: аутентификация после upgrade, авторизация сообщений и защита от CSRF при установке соединения.
🧩 OWASP
Безопасность популярных технологий и фреймворков
Безопасность XML
Комплексная безопасность XML: схемы, подпись, шифрование и защита от расширенных атак на парсеры и преобразования.
🧩 OWASP
Безопасность популярных технологий и фреймворков
Безопасность веб-сервисов
Общие меры для SOAP и XML-веб-сервисов: подпись, шифрование сообщений и защита от перегрузки и инъекций в XML.
🧩 OWASP
Безопасность популярных технологий и фреймворков
Оценка безопасности REST
Подходы к оценке и тестированию безопасности REST API: аутентификация, объекты, ошибки и типовые антипаттерны.
🧩 OWASP
Безопасность популярных технологий и фреймворков
Параметризация запросов
Параметризованные запросы к БМД как основной контроль против SQL-инъекций и смежных векторов в запросах.
🧩 OWASP
Безопасность популярных технологий и фреймворков
Проверка входных данных
Валидация и нормализация входных данных на границе приложения: белые списки, типы, ограничения длины и кодировки.
⚙️ OWASP
Безопасность разработки и CI/CD
Анализ кода на безопасность
Чек-листы и фокусы при ручном анализе кода на уязвимости: приоритетные категории дефектов и типовые места ошибок.
⚙️ OWASP
Безопасность разработки и CI/CD
Анализ поверхности атаки
Методы инвентаризации и оценки поверхности атаки приложения и инфраструктуры для приоритизации мер защиты.
⚙️ OWASP
Безопасность разработки и CI/CD
Безопасность CI/CD
Защита конвейеров непрерывной интеграции и доставки: секреты, доверие к агентам, подпись артефактов и контроль пайплайна.
⚙️ OWASP
Безопасность разработки и CI/CD
Безопасность инфраструктуры как кода
Безопасность описаний инфраструктуры как кода: секреты в репозиториях, политики, обзор изменений и минимизация привилегий.
⚙️ OWASP
Безопасность разработки и CI/CD
Безопасность цепочки поставки ПО
Защита цепочки поставки ПО: проверка происхождения артефактов, подписи, зависимости и доверие к инструментам сборки.
⚙️ OWASP
Безопасность разработки и CI/CD
Виртуальный патчинг
Временная компенсация уязвимостей на периметре или в WAF без немедленного патча кода приложения.
⚙️ OWASP
Безопасность разработки и CI/CD
Граф зависимостей и SBOM
Построение графа зависимостей и SBOM для прозрачности поставки и реагирования на уязвимости в сторонних компонентах.
⚙️ OWASP
Безопасность разработки и CI/CD
Логирование
Что и как журналировать для расследований без избыточного хранения персональных и секретных данных.
⚙️ OWASP
Безопасность разработки и CI/CD
Обработка ошибок
Обработка ошибок без утечки внутренних деталей и стеков. Единообразные ответы и безопасное журналирование инцидентов.
⚙️ OWASP
Безопасность разработки и CI/CD
Проектирование безопасного продукта
Встраивание требований безопасности на этапе проектирования продукта: угрозы, приватность и минимизация данных.
⚙️ OWASP
Безопасность разработки и CI/CD
Раскрытие уязвимостей
Процессы координированного раскрытия уязвимостей: каналы связи, сроки, безопасный обмен информацией с исследователями.