Baza pytań rekrutacyjnych i wiedzy. Filtruj, szukaj i sprawdzaj swoją wiedzę.
Threat modeling to ustrukturyzowany sposób identyfikacji zasobów, zagrożeń i mitigacji przez mapowanie aktorów, punktów wejścia i granic zaufania. Lekki model robi szybki diagram przepływu danych, wypisuje zagrożenia (np. STRIDE) i priorytetyzuje mitigacje wg ryzyka.
Uwierzytelnianie potwierdza tożsamość użytkownika (np. hasło, OAuth, MFA). Autoryzacja decyduje, do czego ma dostęp (np. rola może edytować faktury). AuthN jest przed AuthZ.
XSS wstrzykuje skrypty do strony; mitigacja to encoding wyjścia i CSP. CSRF podsyła zaufane żądanie z przeglądarki; mitigacja to tokeny CSRF i cookies SameSite. SSRF zmusza serwer do żądań do zasobów wewnętrznych; mitigacja to allowlisty i kontrola egressu.
Hasła przechowuj jako solone, wolne hashe (Argon2id, bcrypt lub scrypt). Nigdy nie przechowuj plaintextu ani odwracalnego szyfrowania. Stosuj per-user salt, opcjonalny pepper i polityki siły haseł.
Least privilege to nadawanie minimalnych uprawnień potrzebnych do zadania i na możliwie krótki czas. W IAM oznacza to wąsko zdefiniowane role, osobne konta dla usług i unikanie wildcardów.
Trzymaj sekrety w dedykowanym secrets managerze (np. Vault, AWS Secrets Manager), wstrzykuj je w runtime i regularnie rotuj. Nie hardcoduj, utrzymuj least privilege i audytuj użycie sekretów w CI/CD.
JWT są dobre dla stateless API i autoryzacji między usługami, ale trudno je unieważnić i potrafią puchnąć. Sesje po stronie serwera łatwo unieważniać i rotować, więc są lepsze dla aplikacji webowych wymagających kontroli i krótkich sesji.
Stosuj uwierzytelnianie, rate limiting, kwoty i wykrywanie nadużyć (reputacja IP, anomalie). Dodaj walidację żądań, reguły WAF i backpressure oraz monitoring i alerty na skoki ruchu.
Ryzyko supply chain to możliwość podmiany zależności, etapów builda lub artefaktów. Mitigacje obejmują pinowanie wersji, SBOM, weryfikację podpisów, least-privilege w CI oraz monitoring podatnych zależności.
Loguj zdarzenia auth (nieudane logowania, zmiany MFA), zmiany uprawnień, dostęp do wrażliwych danych i nietypowe wzorce ruchu. Monitoruj skoki, anomalie geograficzne i nieudane akcje, by szybko wykrywać nadużycia i wspierać IR.