🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение SSRF
Предотвращение SSRF: блоклисты и аллоулисты целевых хостов, разделение сетей и контроль исходящих запросов сервера.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение XSS
Снижение риска межсайтового скриптинга: экранирование, контекст вывода, CSP и безопасная работа с HTML и пользовательским вводом.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение XXE
Отключение и ограничение внешних сущностей в XML-парсерах для предотвращения XXE и утечек файлов.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение инъекций
Общие принципы защиты от инъекций: параметризация, контекстные экранирование и недопущение интерпретации ввода как кода.
🎯 OWASP
Защита от веб-атак (OWASP Top 10)
Предотвращение инъекций в Java
Предотвращение инъекций в приложениях на Java: JDBC, JPA, шаблоны запросов и работа с внешними интерпретаторами.
📋 OWASP
Общие термины и методология
Безопасность MCP
Угрозы и меры для Model Context Protocol: доверие к инструментам, границы контекста и защита от злоупотребления агентами.
📋 OWASP
Общие термины и методология
Безопасность npm
Безопасность проектов на Node.js с экосистемой npm: зависимости, скрипты установки и целостность пакетов.
📋 OWASP
Общие термины и методология
Защита конфиденциальности пользователей
Минимизация и защита персональных данных пользователей: согласия, хранение, удаление и прозрачность обработки.
📋 OWASP
Общие термины и методология
Интеграция со сторонними платёжными шлюзами
Безопасная интеграция платёжных шлюзов: PCI DSS, токенизация, вебхуки и защита от подмены платёжных callback.
📋 OWASP
Общие термины и методология
Конфигурация PHP
Параметры php.ini и среды выполнения PHP, снижающие риск утечек, включения файлов и небезопасных функций.
📋 OWASP
Общие термины и методология
Проверка и верификация электронной почты
Корректная проверка адресов электронной почты без лишнего раскрытия информации и с учётом злоупотреблений (спам, перечисление).
📋 OWASP
Общие термины и методология
Терминология ИБ
Согласованные определения терминов ИБ для единого языка в командах разработки, эксплуатации и безопасности.
📋 OWASP
Общие термины и методология
Управление унаследованными приложениями
Сопровождение унаследованных систем: ограничение поверхности атаки, компенсирующие контроли и безопасные процессы изменений.
🔐 OWASP
Основы контроля доступа и аутентификации
JAAS
Использование JAAS в Java для подключаемой аутентификации и авторизации с учётом типовых ошибок конфигурации LoginModule.
🔐 OWASP
Основы контроля доступа и аутентификации
Автоматизация тестирования авторизации
Автоматизация проверок авторизации в тестах и CI: типовые ошибки, негативные сценарии и интеграция в конвейер.
🔐 OWASP
Основы контроля доступа и аутентификации
Авторизация
Разграничение прав после аутентификации: проверка полномочий на каждой операции, роли, защита от эскалации привилегий.
🔐 OWASP
Основы контроля доступа и аутентификации
Авторизация транзакций
Авторизация чувствительных транзакций (платежи, изменение критичных данных) поверх обычной сессии пользователя.
🔐 OWASP
Основы контроля доступа и аутентификации
Аутентификация
Практики надёжной аутентификации пользователей: учётные данные, политики паролей, защита механизма входа от перебора и обхода.
🔐 OWASP
Основы контроля доступа и аутентификации
Восстановление пароля
Безопасный сценарий восстановления пароля: токены, срок жизни, защита от перечисления учётных записей и злоупотребления почтой.
🔐 OWASP
Основы контроля доступа и аутентификации
Выбор и использование секретных вопросов
Риски секретных вопросов для восстановления доступа и альтернативы. Как снизить угрозу угадывания и сбора данных злоумышленником.