Безопасность

OWASP Top 10, XSS, SQL-инъекции, Zero Trust, MFA и практики защиты веб-приложений.

Безопасность в разработке — это не один инструмент, а набор практик на уровне кода, API, сети и процессов. В этом разделе собраны термины, с которых удобно разобраться в типовых угрозах и защитных механизмах: от инъекций и XSS до моделей доверия Zero Trust.

Материалы ориентированы на разработчиков и DevOps: объясняем, что означает термин, где он встречается в продакшене и с чем его связывают в архитектуре. Если вы готовите аудит, проектирование API или hardening сервиса — начните с блока «С чего начать» ниже.

Раздел дополняется по мере публикации статей: приоритет — угрозы из OWASP, аутентификация и границы доверия между сервисами.

С чего начать

Термины в теме (5)

Частые вопросы

  • С чего начать изучение безопасности веб-приложений?

    Обычно с OWASP Top 10 и базовых векторов (XSS, инъекции, небезопасная аутентификация), затем — модели доступа (OAuth, JWT) и принципы Zero Trust для распределённых систем.

  • Чем отличается XSS от SQL-инъекции?

    XSS выполняет вредоносный скрипт в браузере жертвы; SQL-инъекция подменяет запрос к базе данных на стороне сервера. Меры защиты разные: контекстное экранирование и CSP для XSS, параметризованные запросы и валидация ввода для SQL.

  • Нужен ли Zero Trust, если уже есть VPN?

    VPN защищает канал до периметра, но не заменяет проверку каждого запроса между сервисами и пользователями. Zero Trust предполагает «не доверять по умолчанию» даже внутри сети.