Глоссарий
CVE, CVSS, RCE, SSRF, XSS, SPF/DKIM/DMARC — каждый термин с кратким ответом в одну строку и понятным объяснением.
Что такое passkey? Беспарольный вход, у которого нечего красть
Passkey — это вход без общего секрета. Ваше устройство подписывает данные закрытым ключом вместе с биометрией, а сервер хранит только соответствующий открытый ключ. Утечкой воспользоваться нельзя, а подпись привязана к домену — на поддельном сайте она не завершится, что делает passkey структурно устойчивым к фишингу. Безопаснее, чем пароль + SMS-код; мигрируйте сначала важные аккаунты.
Что такое хеширование паролей? Безопасное хранение паролей через одностороннее преобразование
Хеширование паролей означает хранение пароля как одностороннего, необратимого преобразования. Никогда не храните пароли в открытом виде. В отличие от шифрования, расшифровать обратно нельзя — в этом и смысл. Но обычные MD5/SHA-256 падают перед радужными таблицами и перебором. Решение: соль на каждого пользователя плюс намеренно медленный хеш (bcrypt/Argon2/scrypt). Не изобретайте своё — используйте стандартную функцию.
Что такое соль? «Приправа» на каждого пользователя, добавляемая к хешу пароля
Соль — это случайное значение на каждого пользователя, добавляемое перед хешированием пароля. Один и тот же пароль тогда хранится по-разному у каждого, что побеждает предвычисленные радужные таблицы и не даёт одному прогону взлома вскрыть много аккаунтов. Соль не секретна — храните её рядом с хешем. bcrypt/Argon2 добавляют её автоматически.
Что такое фишинг? Виды атак и защита надёжнее, чем «распознать»
Фишинг выдаёт себя за доверенную сторону, чтобы заманить вас на поддельную страницу входа и украсть учётные данные или данные (или запустить вредонос). Он целится в человеческое суждение, а не в дефект ПО, и является каналом входа №1 для программ-вымогателей и утечек. Современный фишинг с злоумышленником посередине (AiTM) ретранслирует даже одноразовые коды на настоящий сайт в реальном времени, поэтому SMS/приложение-MFA можно обойти. Надёжная защита — не «распознать», а механизмы: привязанная к домену устойчивая к фишингу MFA (passkey/аппаратные ключи), переход на официальный сайт напрямую вместо клика по ссылкам и аутентификация почты (SPF/DKIM/DMARC).
Что такое JWT (JSON Web Token)? Как работает подписанный пропуск и как использовать его безопасно
JWT — это защищённый от подделки «пропуск», который сервер выдаёт, подписывая его. Он состоит из трёх частей — header.payload.signature — и сервер проверяет подпись, чтобы подтвердить подлинность. Остерегайтесь: (1) всегда проверяйте подпись и фиксируйте ожидаемый alg (отклоняйте alg:none); (2) содержимое может прочитать кто угодно, поэтому не кладите туда секреты; (3) держите короткий срок действия и имейте стратегию отзыва. Декодирование (чтение) и проверка (подтверждение подлинности) — разные вещи.
Что такое программа-вымогатель? Как она работает, как проникает и как не платить
Программа-вымогатель — это вредонос, который шифрует ваши файлы и требует оплаты за возврат. Современные атаки добавляют двойное вымогательство — сначала крадут данные и угрожают их слить, поэтому одна расшифровка не останавливает утечку. Основные каналы входа: фишинг, слабый/без MFA доступ VPN/RDP и незакрытые уязвимости, доступные из интернета. Самая важная защита — офлайн/неизменяемые бэкапы плюс тесты восстановления, способность восстановиться, не платя. Также закройте вход (MFA, патчи) и ограничьте радиус поражения (минимум привилегий, сегментация).
Что такое BitLocker — шифрование диска в Windows, защищающее данные на потерянном или украденном устройстве
BitLocker — встроенное в Windows шифрование диска. Оно защищает данные, когда ПК выключен или диск вынут, превращая кражу или потерю в шифртекст. Главная ловушка — ключ восстановления: потеряете его и закроете доступ самому себе. Оно не защищает работающий ПК с активным сеансом, поэтому сочетайте его с надёжным входом и автоблокировкой.
Что такое C2 (command and control) — канал, через который злоумышленники управляют устройством после взлома
C2 — канал, через который скомпрометированное устройство «звонит обратно» на сервер злоумышленника (beacon), чтобы получать команды и выводить данные — стадия после взлома. Ключи к обнаружению — подозрительный периодический исходящий трафик и известные вредоносные адреса. Защита: фильтрация исходящего трафика, мониторинг DNS, сопоставление с IOC/IOA, минимум привилегий. Подтверждение «нет резидентного C2» — важная часть расследования инцидента.
Что такое CORS — как он работает и что открывает неправильная настройка
CORS — это то, как браузер управляет тем, может ли JS другого источника читать ответы вашего API. Неправильная настройка — отражение любого Origin или Access-Control-Allow-Origin:* с учётными данными — позволяет стороннему сайту читать данные с активным сеансом. Реальная защита: allowlist, не отражать Origin вслепую, запрет по умолчанию.
Что такое EDR — запись «поведения» конечных точек для обнаружения и реагирования на проскользнувшие атаки
EDR непрерывно записывает поведение конечной точки, обнаруживает подозрительную активность (в стиле IOA) и поддерживает реагирование (изолировать, расследовать). Он ловит бесфайловые и living-off-the-land атаки, которые пропускает сигнатурный/IOC-антивирус, по поведению и временной шкале. Небольшим командам часто не нужен полноценный EDR — встроенная защита ОС плюс журналы плюс мышление IOA дают большую часть пользы.
Что такое IOA (Indicator of Attack) — обнаружение взлома по поведению, а не по следам
IOA (Indicator of Attack) обнаруживает взлом по поведению атаки в процессе (повышение привилегий → горизонтальное перемещение → вывод данных). Это противоположность ретроспективного IOC. Злоумышленники мгновенно меняют хеши и IP, но техника (поведение) трудно меняется — поэтому IOA служат дольше. Даже небольшие команды могут подойти к этому, отслеживая поведение, отличающееся от нормального.
Что такое IOC (Indicator of Compromise) — следы, выдающие взлом
IOC (Indicator of Compromise) — это след, который оставляет взлом: известные вредоносные хеши файлов, IP/домены злоумышленника, URL, необычные процессы. Его ценность — механически обнаруживать/блокировать известное вредоносное. Но это реактивная улика, которую злоумышленники меняют дёшево, поэтому сопоставление IOC — финальная проверка, а не лекарство. Реальная защита — проектирование, которое не горит (минимум привилегий, обновления, MFA).
Что такое фиксация сессии — заставить жертву войти с ID, который атакующий уже знает
Фиксация сессии заставляет жертву использовать известный атакующему ID сессии, а затем выдаёт себя за неё после её входа с этим ID. Реальная защита: регенерировать ID сессии при входе (и при смене привилегий). Не принимайте ID из URL и укрепляйте cookie флагами HttpOnly/Secure/SameSite.
Что такое кликджекинг — невидимые ловушки, заставляющие нажимать скрытые кнопки
Кликджекинг невидимо накладывает ваш настоящий сайт поверх страницы злоумышленника, чтобы пользователь выполнил непреднамеренное действие (перевод, изменение настроек, согласие). Реальная защита — отказ помещаться во фрейм: CSP frame-ancestors плюс X-Frame-Options.
Что такое IDOR — увидеть чужие данные, просто изменив идентификатор
IDOR позволяет пользователю изменить ?id=124 на 125 и прочитать чужой счёт или персональные данные — нарушение контроля доступа. Реальная защита: на сервере при каждом доступе проверять, разрешён ли вошедшему пользователю этот объект. Трудноугадываемые идентификаторы — не решение.
Что такое открытый редирект — ваш доверенный URL как трамплин на чужой сайт
Открытый редирект позволяет параметру вроде ?next= перенаправить пользователя на любой внешний сайт, заимствуя доверие к вашему домену для фишинга. Реальная защита: никогда не принимать внешние URL как цель редиректа — только относительные пути и allowlist.
Что такое path traversal — чтение файлов, которые сервер не должен отдавать, через ../
Path traversal подмешивает ../ во ввод имени файла, чтобы выйти из базового каталога и читать/писать .env, конфиги или ключи. Реальная защита: никогда не использовать пользовательский ввод как сырой путь к файлу и нормализовать-затем-ограничивать внутри разрешённого базового каталога.
Что такое CSRF (Cross-Site Request Forgery) — как заставить вошедшего пользователя действовать ненамеренно
CSRF заставляет браузер вошедшего пользователя отправить непреднамеренное действие, злоупотребляя привычкой браузера автоматически прикреплять куки. Реальная защита — CSRF-токены плюс куки SameSite. Никогда не используйте GET для изменений состояния.
Что такое SPF / DKIM / DMARC — трио, защищающее ваш домен от поддельной почты
SPF/DKIM/DMARC — три настройки DNS, чтобы получатели могли проверять почту вашего домена. SPF = какие серверы могут отправлять, DKIM = криптографическая подпись, DMARC = политика плюс отчёты. Вместе они останавливают подделку от вашего имени. Поднимайте DMARC от p=none вверх.
Что такое SQL-инъекция (SQLi) — когда ввод переписывает команды вашей базы данных
SQLi — это когда ввод читается как «часть команды», а не данные, меняя смысл запроса — прямой путь к чтению/изменению/удалению. Реальная защита — перестать склеивать SQL строками и передавать значения через плейсхолдеры (подготовленные выражения).
Что такое XSS (Cross-Site Scripting) — код, выполняющийся в чужом браузере
XSS заставляет подставленную атакующим строку выполниться «как скрипт» в браузере другого пользователя — прямой путь к краже сессии и выдаче себя за него. Реальная защита — экранирование на выводе. Не отключайте авто-экранирование вашего фреймворка.
Что такое CVE — общий «игровой номер» для уязвимостей
CVE — это глобально общий идентификатор уязвимости (например, CVE-2025-12345). CVE = имя, CVSS = серьёзность, KEV = эксплуатируется ли она. Это якорь для мониторинга. Отслеживайте машинами, а не вручную.
Что такое CVSS — оценка серьёзности и как её на самом деле выставляют
CVSS оценивает серьёзность от 0.0 до 10.0. Оценка вычисляется из определённых метрик (вектор атаки, сложность, привилегии, взаимодействие пользователя, область, воздействие на CIA) по публичной формуле — а не на глаз. Зная шкалу, вы поймёте, что означает 10.0. И всё же расставляйте приоритеты по KEV (эксплуатируется ли она) и тому, используете ли вы её.
Что такое .env — что происходит при утечке файла окружения
.env хранит секреты приложения (доступ к БД, ключи API, ключи шифрования). Поскольку ключи собраны в одном файле, его раскрытие приводит к утечке всех секретов сразу. Держите приложение вне docroot, никогда не коммитьте его в git и ротируйте всё, если оно утекло.
Что такое RCE (Remote Code Execution) — почему это худший класс багов
RCE позволяет атакующему выполнить произвольный код на вашем сервере — прямой путь к захвату, худший класс. Радиус поражения задаётся привилегиями работающего процесса. Главные средства защиты — быстрые патчи, мониторинг CVE и минимум привилегий.
Что такое SSRF (Server-Side Request Forgery)
SSRF злоупотребляет URL из внешнего ввода, чтобы заставить сервер обратиться к внутренним ресурсам (внутренние IP, облачные метаданные). Если вы загружаете URL, нужен allowlist назначений, блокировка внутренних целей и закрытие брешей редиректов/DNS-rebinding. Это была точка входа утечки Capital One.