Security learning hub
Web-security в одном месте: security scanner инструмент, CSP/HSTS/X-Frame-Options reference, how-to (DevSec, SBOM, cosign), research (prompt injection, supply chain attacks).
Глоссарий (17) все →
CSRF — что это и как работает [2026]
CSRF — определение, примеры, применение. Онлайн-проверка бесплатно.
WAF (Web Application Firewall) — что это (2026)
WAF (Web Application Firewall) — принцип работы, популярные решения, OWASP CRS. Проверить защищённость сайта онлайн.
SRI (Subresource Integrity) — защита от supply-chain атак [2026]
SRI (Subresource Integrity) — простое объяснение, как настроить, типичные ошибки. Онлайн-проверка бесплатно.
HSTS Preload List — гайд по включению [2026]
HSTS Preload — простое объяснение, как настроить, типичные ошибки. Онлайн-проверка бесплатно.
503 Service Unavailable — что это и как работает [2026]
503 Service Unavailable — определение, примеры, применение. Онлайн-проверка бесплатно.
XSS — что это и как работает [2026]
XSS — определение, примеры, применение. Онлайн-проверка бесплатно.
Rate limiting — что это и как работает [2026]
Rate limiting — определение, примеры, применение. Онлайн-проверка бесплатно.
DDoS атака — что это и как работает [2026]
DDoS атака — определение, примеры, применение. Онлайн-проверка бесплатно.
Prompt Injection — атака на LLM
Prompt injection: hijack LLM через malicious instructions в input. Direct vs indirect. Защита: guardrails, sanitization.
WebAuthn / Passkeys — безпарольная аутентификация
WebAuthn (Passkeys) — W3C стандарт безпарольной аутентификации через биометрию или security keys. FIDO2.
PKCE — Proof Key for Code Exchange
PKCE (RFC 7636) — OAuth 2.0 расширение для защиты authorization code flow в public clients (SPA, mobile).
Refresh Token — что это
Refresh token — долгоживущий токен для получения новых access_token. Хранение, ротация, revocation.
JWK — JSON Web Key
JWK (JSON Web Key, RFC 7517) — JSON-представление cryptographic keys. JWKS, key rotation, OAuth 2.0.
Webhook signing — HMAC подпись
Webhook signing — HMAC-подпись payload для защиты от подделки. Stripe, GitHub, Telegram patterns.
OAuth 2.0 — что это, flow типы, отличие от JWT
OAuth 2.0 — протокол делегированной авторизации. Authorization Code, Client Credentials, Device, PKCE. Чем отличается от OpenID Connect.
Zero Trust — что это и как работает в 2026
Zero Trust — модель безопасности "никому не доверяй по умолчанию". Отличие от классического perimeter, инструменты, стандарт BeyondCorp.
HSTS — что это и как настроить [2026]
HSTS (HTTP Strict Transport Security) — что такое, зачем нужен, как правильно настроить и включить в preload-список. Проверить HSTS онлайн …
Как сделать (18) все →
Как настроить мониторинг безопасности LLM-приложения
Security monitoring для LLM: prompt-injection детекция, output filtering, rate-limit на user, аномалия-детект, integration с heartbeat.
Как обнаружить prompt injection в LLM-приложении
Prompt injection: типы атак (direct/indirect/jailbreak), детекторы (regex/embedding/LLM-judge), guardrails и production-мониторинг.
Как включить HSTS на сайте (nginx/Apache) [2026]
Пошаговая инструкция настройки HSTS: max-age, includeSubDomains, preload. Попадание в HSTS Preload List.
Как защитить API keys — 2026
Безопасное хранение API-ключей: ротация, детекция утечек, .env, HashiCorp Vault, environment-переменные. Git secrets scanning в 2026.
Как настроить Ingress в Kubernetes
Ingress в Kubernetes: nginx-ingress-controller, TLS через cert-manager, path/host-based routing, rate-limit annotations.
Как настроить rate limiting в nginx
Nginx rate limiting: limit_req_zone, burst, nodelay, 429 responses, fail2ban интеграция.
Как ротировать секреты production — 2026
Secret rotation: AWS Secrets Manager, HashiCorp Vault, GitHub secret scanning. API keys, DB passwords, JWT secrets — как, когда, автоматиза…
Как настроить Snyk security scanning
Snyk для npm/Python/Docker: integration в CI/CD, SARIF uploads, vulnerability database. Fail build on high CVE.
Как подписывать Docker images через Cosign
Cosign (Sigstore): keyless cryptographic signing Docker images. CI/CD integration, SLSA compliance, supply chain security.
Как аудитить supply chain npm-пакетов
npm audit + Socket.dev + Snyk + Dependabot: detection malicious packages, typosquatting, postinstall scripts. Runtime protection.
Как защитить AI API keys от утечки — 2026
Best practices для OpenAI/Anthropic/Google keys. Backend proxy, rate limit, budget alerts, key rotation.
Как защитить LLM от prompt injection — 2026
Prompt injection OWASP #1 для LLM. Guardrails, structured output, Lakera, Rebuff, NeMo. Best practices.
Как настроить HashiCorp Vault для secrets
Пошаговая установка Vault: dev mode, production init, auth methods, KV store, K8s integration.
Как включить CSRF защиту — 2026
CSRF protection: synchronizer tokens, Double-Submit Cookie, SameSite cookie. PHP, Django, Express примеры.
Как заблокировать страну в nginx — 2026
GeoIP-блокировка страны в nginx: MaxMind GeoLite2, ngx_http_geoip2_module, allow/deny list. Как обойти для admin.
Как защитить SSH сервер — hardening 2026
Пошаговая защита SSH: ключи вместо пароля, fail2ban, смена порта, AllowUsers. Пошаговая инструкция.
Как настроить Fail2Ban — защита от brute-force 2026
Пошаговая настройка Fail2Ban: jails для SSH, nginx, login bruteforce. Filter, ban action, alerting.
Как настроить OAuth 2.0 provider — 2026
Пошаговая настройка OAuth 2.0 provider для "Login with X". Google, GitHub, VK, Yandex. Authorization Code flow + PKCE.
Альтернативы (3) все →
Альтернативы Sentry 2026 — error tracking
Sentry — стандарт error tracking. Альтернативы: Enterno.io, GlitchTip (open-source Sentry), Rollbar, Bugsnag, Datadog.
Альтернативы SecurityHeaders.com 2026 — Enterno, Mozilla
SecurityHeaders.com (Scott Helme) — grade A-F для HTTP-заголовков. Альтернативы с более широким анализом: Enterno, Mozilla Observatory, Har…
Альтернативы Mozilla Observatory 2026 — Enterno, Hardenize
Mozilla Observatory — open-source security grade. Альтернативы с continuous monitoring и API: Enterno.io, SecurityHeaders.com, Hardenize.
Исследования (5) все →
HSTS Preload 2026 — глобальная адопция и подводные камни
Исследование HSTS-preload среди топ-10k сайтов: кто в Chromium list, типичные ошибки max-age и includeSubDomains.
Web Accessibility Рунета 2026 — WCAG аудит
Исследование доступности 500 российских сайтов: 73% не соответствуют WCAG 2.2 AA. Типичные ошибки и impact на SEO.
Prompt injection attacks в production 2026
Prompt injection incidents: 8% major AI apps pwned. Indirect via RAG, tool-use attacks. Defense adoption.
Passkey / WebAuthn adoption Runet 2026
Насколько Runet адоптировал Passkey / WebAuthn: 18% топ-100 банков, 7% SaaS, единичные госсервисы. SMS OTP всё ещё dominant.
Security Headers в Рунете 2026 — бенчмарк
Покрытие HSTS, CSP, X-Frame-Options, Referrer-Policy в Рунете. Grade distribution, топ ошибок. Данные Enterno.io.