🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Content Security Policy
Настройка Content Security Policy для ограничения источников скриптов и ресурсов и снижения эффективности XSS и инъекций контента.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
HTTP Strict Transport Security
Внедрение HSTS для принудительного HTTPS, снижения риска SSL stripping и ошибок смешанного контента.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Transport Layer Security
Обзор и практика использования TLS: версии протокола, сертификаты, Perfect Forward Secrecy и отключение слабых алгоритмов.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Десериализация
Безопасная десериализация: риски выполнения кода и обхода логики, допустимые форматы и изоляция недоверенных данных.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Заголовки HTTP
Набор заголовков HTTP для усиления безопасности браузера: CSP, HSTS, X-Content-Type-Options и другие директивы.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Загрузка файлов
Безопасная загрузка файлов: проверка типа и содержимого, изоляция хранения, запрет опасных расширений и исполнения в контексте веб-сервера.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Защита от инъекций команд ОС
Защита от инъекций команд ОС: избегание shell, списки разрешённых аргументов и изоляция вызовов внешних программ.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Защита от кликджекинга
Защита интерфейса от принудительных кликов через iframe и наложение: X-Frame-Options, CSP frame-ancestors и смежные меры.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Защита транспортного уровня
Защита данных при передаче: TLS end-to-end, проверка сертификатов и типичные ошибки конфигурации канала.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Массовое присвоение
Предотвращение массового присвоения полей модели: явные списки разрешённых атрибутов и разделение DTO.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Наборы шифров TLS
Подбор и сопровождение наборов шифров TLS для баланса совместимости и криптостойкости на серверах и прокси.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Непроверенные перенаправления и пересылки
Исключение открытых перенаправлений и внутренних форвардов, приводящих к фишингу и обходу проверок доступа.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Обход XSS-фильтров
Понимание приёмов обхода слабых XSS-фильтров для построения устойчивой защиты на экранировании и CSP, а не на чёрных списках.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Отказ в обслуживании (DoS)
Противодействие отказу в обслуживании: лимиты, кэширование, масштабирование и выявление злоупотреблений на уровне приложения.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение CSRF
Предотвращение CSRF в веб-приложениях: синхронизатор токенов, SameSite, проверка заголовков и безопасные паттерны для API.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение DOM-based XSS
Защита от XSS, возникающего при обработке данных в браузере без отдельного ответа сервера с полезной нагрузкой (источники и безопасные API).
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение IDOR
Предотвращение IDOR: косвенные ссылки, проверка владения ресурсом на сервере и отказ от доверия клиентским идентификаторам.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение LDAP-инъекций
Предотвращение LDAP-инъекций при построении фильтров и DN: параметризация, экранирование и отказ от конкатенации ввода.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение prototype pollution
Предотвращение prototype pollution в JavaScript: безопасное слияние объектов, freeze и ограничение недоверенных структур.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение SQL-инъекций
Предотвращение SQL-инъекций через подготовленные выражения, ORM и запрет динамической сборки запросов из сырого ввода.