Безопасность
OWASP Top 10, XSS, SQL-инъекции, Zero Trust, MFA и практики защиты веб-приложений.
Безопасность в разработке — это не один инструмент, а набор практик на уровне кода, API, сети и процессов. В этом разделе собраны термины, с которых удобно разобраться в типовых угрозах и защитных механизмах: от инъекций и XSS до моделей доверия Zero Trust.
Материалы ориентированы на разработчиков и DevOps: объясняем, что означает термин, где он встречается в продакшене и с чем его связывают в архитектуре. Если вы готовите аудит, проектирование API или hardening сервиса — начните с блока «С чего начать» ниже.
Раздел дополняется по мере публикации статей: приоритет — угрозы из OWASP, аутентификация и границы доверия между сервисами.
С чего начать
Термины в теме (5)
Частые вопросы
С чего начать изучение безопасности веб-приложений?
Обычно с OWASP Top 10 и базовых векторов (XSS, инъекции, небезопасная аутентификация), затем — модели доступа (OAuth, JWT) и принципы Zero Trust для распределённых систем.
Чем отличается XSS от SQL-инъекции?
XSS выполняет вредоносный скрипт в браузере жертвы; SQL-инъекция подменяет запрос к базе данных на стороне сервера. Меры защиты разные: контекстное экранирование и CSP для XSS, параметризованные запросы и валидация ввода для SQL.
Нужен ли Zero Trust, если уже есть VPN?
VPN защищает канал до периметра, но не заменяет проверку каждого запроса между сервисами и пользователями. Zero Trust предполагает «не доверять по умолчанию» даже внутри сети.