К практике
НачальныйXSSCSRFSQL injection
🛡️JuniorXSSCSRFSQL injectionHTTPSбезопасность
Безопасность веб-приложений
XSS, CSRF, SQL injection и HTTPS — атаки на сайты и защита от них.
4 типа уязвимостей — выбери для изучения
🔒 HTTPS / TLS — Перехват трафика
❌ HTTP (открытый текст)
GET /login HTTP/1.1 password: secret123 ← Провайдер видит всё!
✅ HTTPS (зашифровано)
TLS Handshake ← Обмен ключами = всё зашифровано 🔐
TLS гарантирует конфиденциальность (никто не подслушает), целостность (данные не изменены по пути) и аутентичность (сертификат подтверждает сервер).
Язык примеров:
Шаг 1 из 3
1
HTTPS и TLS
Зачем HTTPS?
HTTP передаёт данные открытым текстом. Любой, кто находится между тобой и сервером (провайдер, публичный WiFi) может:
- Читать твои запросы (пароли, данные карты)
- Подменять ответы сервера
HTTPS = HTTP + TLS (Transport Layer Security)
Как TLS защищает
javascript
1. Сервер имеет SSL-сертификат (выдан доверенным центром сертификации)
2. При соединении сервер доказывает свою подлинность
3. Браузер и сервер договариваются о ключе шифрования
4. Всё последующее общение зашифрованоЗамочек 🔒 в адресной строке — HTTPS активен.
Что даёт HTTPS
- Конфиденциальность — данные зашифрованы, никто не подслушает
- Целостность — данные не изменены по пути
- Подлинность — ты точно общаешься с нужным сервером, а не с подделкой