Security: полное руководство — сканер, CSP, OWASP

Enterno.io Editorial Team

Глоссарий (17) все →

Prompt Injection — атака на LLM

Prompt injection: hijack LLM через malicious instructions в input. Direct vs indirect. Защита: guardrails, sanitization.

Refresh Token — что это

Refresh token — долгоживущий токен для получения новых access_token. Хранение, ротация, revocation.

Webhook signing — HMAC подпись

Webhook signing — HMAC-подпись payload для защиты от подделки. Stripe, GitHub, Telegram patterns.

JWK — JSON Web Key

JWK (JSON Web Key, RFC 7517) — JSON-представление cryptographic keys. JWKS, key rotation, OAuth 2.0.

PKCE — Proof Key for Code Exchange

PKCE (RFC 7636) — OAuth 2.0 расширение для защиты authorization code flow в public clients (SPA, mobile).

WebAuthn / Passkeys — безпарольная аутентификация

WebAuthn (Passkeys) — W3C стандарт безпарольной аутентификации через биометрию или security keys. FIDO2.

Zero Trust — что это и как работает в 2026

Zero Trust — модель безопасности "никому не доверяй по умолчанию". Отличие от классического perimeter, инструменты, стандарт BeyondCorp.

OAuth 2.0 — что это, flow типы, отличие от JWT

OAuth 2.0 — протокол делегированной авторизации. Authorization Code, Client Credentials, Device, PKCE. Чем отличается от OpenID Connect.

CSRF — что это и как работает [2026]

CSRF — определение, примеры, применение. Онлайн-проверка бесплатно.

XSS — что это и как работает [2026]

XSS — определение, примеры, применение. Онлайн-проверка бесплатно.

DDoS атака — что это и как работает [2026]

DDoS атака — определение, примеры, применение. Онлайн-проверка бесплатно.

503 Service Unavailable — что это и как работает [2026]

503 Service Unavailable — определение, примеры, применение. Онлайн-проверка бесплатно.

Rate limiting — что это и как работает [2026]

Rate limiting — определение, примеры, применение. Онлайн-проверка бесплатно.

SRI (Subresource Integrity) — защита от supply-chain атак [2026]

SRI (Subresource Integrity) — простое объяснение, как настроить, типичные ошибки. Онлайн-проверка бесплатно.

HSTS Preload List — гайд по включению [2026]

HSTS Preload — простое объяснение, как настроить, типичные ошибки. Онлайн-проверка бесплатно.

WAF (Web Application Firewall) — что это (2026)

WAF (Web Application Firewall) — принцип работы, популярные решения, OWASP CRS. Проверить защищённость сайта онлайн.

HSTS — что это и как настроить [2026]

HSTS (HTTP Strict Transport Security) — что такое, зачем нужен, как правильно настроить и включить в preload-список. Проверить HSTS онлайн …

Как сделать (16) все →

Как настроить rate limiting в nginx

Nginx rate limiting: limit_req_zone, burst, nodelay, 429 responses, fail2ban интеграция.

Как настроить Ingress в Kubernetes

Ingress в Kubernetes: nginx-ingress-controller, TLS через cert-manager, path/host-based routing, rate-limit annotations.

Как аудитить supply chain npm-пакетов

npm audit + Socket.dev + Snyk + Dependabot: detection malicious packages, typosquatting, postinstall scripts. Runtime protection.

Как подписывать Docker images через Cosign

Cosign (Sigstore): keyless cryptographic signing Docker images. CI/CD integration, SLSA compliance, supply chain security.

Как настроить Snyk security scanning

Snyk для npm/Python/Docker: integration в CI/CD, SARIF uploads, vulnerability database. Fail build on high CVE.

Как ротировать секреты production — 2026

Secret rotation: AWS Secrets Manager, HashiCorp Vault, GitHub secret scanning. API keys, DB passwords, JWT secrets — как, когда, автоматиза…

Как защитить LLM от prompt injection — 2026

Prompt injection OWASP #1 для LLM. Guardrails, structured output, Lakera, Rebuff, NeMo. Best practices.

Как защитить AI API keys от утечки — 2026

Best practices для OpenAI/Anthropic/Google keys. Backend proxy, rate limit, budget alerts, key rotation.

Как защитить API keys — 2026

Secure API key handling: storage, rotation, leak detection, .env, Vault, environment vars. Git secrets scanning.

Как настроить HashiCorp Vault для secrets

Пошаговая установка Vault: dev mode, production init, auth methods, KV store, K8s integration.

Как включить CSRF защиту — 2026

CSRF protection: synchronizer tokens, Double-Submit Cookie, SameSite cookie. PHP, Django, Express примеры.

Как заблокировать страну в nginx — 2026

GeoIP-блокировка страны в nginx: MaxMind GeoLite2, ngx_http_geoip2_module, allow/deny list. Как обойти для admin.

Как защитить SSH сервер — hardening 2026

Пошаговая защита SSH: ключи вместо пароля, fail2ban, смена порта, AllowUsers. Пошаговая инструкция.

Как настроить OAuth 2.0 provider — 2026

Пошаговая настройка OAuth 2.0 provider для "Login with X". Google, GitHub, VK, Yandex. Authorization Code flow + PKCE.

Как настроить Fail2Ban — защита от brute-force 2026

Пошаговая настройка Fail2Ban: jails для SSH, nginx, login bruteforce. Filter, ban action, alerting.

Как включить HSTS на сайте (nginx/Apache) [2026]

Пошаговая инструкция настройки HSTS: max-age, includeSubDomains, preload. Попадание в HSTS Preload List.

Альтернативы (3) все →

Альтернативы Sentry 2026 — error tracking

Sentry — стандарт error tracking. Альтернативы: Enterno.io, GlitchTip (open-source Sentry), Rollbar, Bugsnag, Datadog.

Альтернативы Mozilla Observatory 2026 — Enterno, Hardenize

Mozilla Observatory — open-source security grade. Альтернативы с continuous monitoring и API: Enterno.io, SecurityHeaders.com, Hardenize.

Альтернативы SecurityHeaders.com 2026 — Enterno, Mozilla

SecurityHeaders.com (Scott Helme) — grade A-F для HTTP-заголовков. Альтернативы с более широким анализом: Enterno, Mozilla Observatory, Har…

Другие страницы (1)

Проверка безопасности сайта онлайн — заголовки безопасности | Enterno.io

Бесплатная проверка заголовков безопасности: HSTS, CSP, X-Frame-Options, CORS. Оценка защищённости сайта.