Кибербезопасность: основы для начинающих программистов

Базовые знания кибербезопасности должны быть у всех программистов, как в бэкенде, так и во фронтенде. В статье рассказали о необходимых навыках, поделились полезными сервисами и бесплатными материалами для обучения.

Кибербезопасность — это область, связанная с защитой информационных систем и данных от несанкционированного доступа, атак, утечек, поломок и других угроз. В центре внимания — три ключевых принципа:

1. Конфиденциальность — данные доступны только тем, кому они предназначены.
2. Целостность — информация не может быть изменена без разрешения.
3. Доступность — системы и сервисы работают тогда, когда они нужны пользователю.

Эту тройку часто называют триадой CIA (от английских Confidentiality, Integrity, Availability).

Если ты пишешь код, особенно тот, который взаимодействует с пользователями, базами данных или сетью — ты уже несёшь ответственность за безопасность. Незащищённый вход на сайт, плохо реализованная аутентификация, уязвимые API — всё это может стать входной точкой для хакеров, даже если ты делаешь простой сайт-визитку.

В России, как и в большинстве стран, существует законодательство в области информационной безопасности. Если ты работаешь с персональными данными, корпоративной информацией или системами критической инфраструктуры, ты обязан соблюдать определённые требования безопасности — от шифрования до защиты сетевых соединений.

Даже если ты не работаешь в кибербезопасности напрямую, тебе важно:

• писать код без уязвимостей,
• защищать пользовательские данные,
• соблюдать стандарты безопасной разработки.

А вот более глубокий аудит, расследование инцидентов, работа с системами мониторинга и защита корпоративной инфраструктуры — это уже работа специалистов по кибербезопасности.

Самые очевидные угрозы это фишинг и взлом паролей.

Фишинг — пользователь вводит логин и пароль на поддельном сайте, думая, что это оригинал. Для защиты используй HTTPS, двухфакторную аутентификацию, предупреждай о возможных фишинговых атаках.

Слабые пароли и их хранение — простые пароли легко угадать, а неправильное хранение может привести к их утечке. Хешируй пароли с использованием bcrypt, Argon2, MessageDigest или PBKDF2. Для повышения безопасности обязательно добавляй к паролю уникальную «соль» — случайно сгенерированную строку, которая повышает уникальность хэш-значения.

Какие ещё угрозы нужно учесть программисту? В любом языке программирования есть слабые места, на которые стоит обратить внимание при разработке. Мы рассмотрим общие уязвимости бэкенда на Java и Go, а также фронтенда на JavaScript. А далее расскажем о специальные сервисах, которые помогут их отслеживать.

Эти уязвимости связаны с серверной логикой, API, обработкой данных, авторизацией и безопасностью конфигурации.

1. SQL-инъекция (SQL Injection) — внедрение вредоносного SQL-кода через параметры запроса. Уязвимость типична для Java, если не используются подготовленные запросы PreparedStatement и для Go, если строка SQL собирается вручную.

2. Небезопасная десериализация — приём и исполнение внешних сериализованных объектов может привести к выполнению произвольного кода. Встречается в Java при работе с ObjectInputStream, в Go — реже, но при использовании нестандартных форматов возможно. Для защиты избегай десериализации данных из ненадёжных источников, используй проверку типов. При работе с сериализацией, десериализацией и клонированием, задействуется процесс создания копии динамически распределенной памяти и при неправильным управлением этими процессами, может привести к глобальным утечкам данных.

3. Недостаточная проверка аутентификации и авторизации — отсутствие чёткой проверки, имеет ли пользователь право выполнять действие. Уязвимость характерна для API-приложений. Для защиты используй централизованные middleware или фильтры авторизации, например, Spring Security или middleware в Go.

4. Exposed sensitive data (оглашение чувствительных данных) — случайный вывод логинов, паролей, токенов, ключей в логах или в API. Не логируй чувствительные данные, шифруй хранилища и переменные окружения.

5. Insecure Direct Object Reference (IDOR) — неограниченный доступ к объектам (например, /user/123), за счёт чего пользователь может получить чужие данные. Для защиты проверяй, имеет ли пользователь право на доступ к объекту.

Во фронтенде главные угрозы связаны с вводом от пользователя, DOM, хранением данных в браузере и взаимодействием с API.

1. XSS (Cross-Site Scripting) — внедрение вредоносного скрипта в HTML или DOM, который выполняется в атакуемом браузере. Характерно для приложений, которые отображают пользовательский ввод. Для защиты экранируй HTML, используй безопасные фреймворки (React, Vue), не вставляй данные в innerHTML.

2. CSRF (Cross-Site Request Forgery) — злоумышленник отправляет запрос от имени пользователя без его ведома. Уязвимость типична для форма и API-запросов. Для повышения безопасности используй CSRF-токены, SameSite cookies, проверку источника запроса.

3. Хранение токенов или конфиденциальной информации в небезопасных хранилищах, которые доступны через JS (localStorage/sessionStorage). По возможности не храни там токены, используй HttpOnly cookies.

4. Ошибки CORS (Cross-Origin Resource Sharing) — неправильная конфигурация CORS может либо заблокировать легитимные запросы, либо допустить нежелательные. Для защиты настрой CORS только для доверенных источников, не ставь Access-Control-Allow-Origin: * в API.

5. Код сторонних библиотек (supply chain risk) — подключение зависимостей (npm-пакетов) с уязвимостями. Проверяй библиотеки через Snyk или npm audit, обновляй зависимости.

Есть специальные сервисы, которые помогают отслеживать и предотвращать уязвимости в проектах на Java, Go и фронтенде на JavaScript. Мы собрали несколько инструментов, которые предлагают бесплатные возможности, подходят для личных и небольших проектов.

1. SonarLint и SonarQube (Community Edition) — инструменты статического анализа кода, находят ошибки, потенциальные уязвимости (включая SQL-инъекции, утечки, небезопасные API), дублирование, сложность кода, подсказывают, как решить проблему. SonarLint это расширение для IDE, а SonarQube работает в CI/CD (например, GitHub Actions или Jenkins).

2. GitHub Code Scanning (CodeQL) — анализатор безопасности от GitHub, ищет уязвимости и ошибки логики на уровне кода с помощью языка CodeQL. Работает в GitHub Actions, в разделе Security репозитория.

3. Snyk Open Source (Free Tier) — сканер зависимостей, проверяет библиотеки на известные уязвимости (CVE) и предлагает безопасные версии. Работает через CLI, в CI/CD, или как GitHub-интеграция.

4. Dependabot(GitHub) — автоматический бот для обновления зависимостей в GitHub-проектах, предупреждает об уязвимостях и создаёт pull requests (запрос на внесение изменений в код). Работает в GitHub, прямо в твоём репозитории.

5. GoSec (для Go) — статический анализатор безопасности для Go, ищет небезопасные конструкции, плохую работу с криптографией, инъекции и утечки. Запускается через CLI в проектах на Go.

6. ESLint + плагины безопасности (JavaScript / TypeScript) — анализатор стиля и ошибок в JavaScript-коде, а с плагинами — находит XSS, использование eval, небезопасные DOM-операции.

7. npm audit / yarn audit (для JS) — встроенные команды для проверки уязвимостей в зависимостях фронтенд-проектов на JavaScript. Используются в терминале при разработке.

8. Google OSS-Fuzz (для Go) — сервис от Google для автоматического фуззинга — генерации случайных входов с целью нахождения сбоев и багов.

В условиях российского рынка программист должен знать и применять:

• базовые принципы безопасного программирования (input validation, защита сессий, шифрование),
• работу с ГОСТ-алгоритмами шифрования, если проект связан с госсектором,
• правила хранения и обработки персональных данных по ФЗ-152,
• основы работы с VPN, TLS/SSL, SSH и другими средствами защиты соединений,
• инструменты анализа уязвимостей (например, static code analysis),
• принципы ролевого управления доступом (RBAC, ACL).

Эти знания особенно важны в компаниях, работающих с финансовыми, государственными и медицинскими данными.

Для первого знакомства с кибербезопасностью можно использовать бесплатные обучающие материалы, а для практики задания с турниров по кибербезопасности. Этого будет достаточно для общего развития. Если твоя цель — профессиональная разработка и карьера в IT, выбирай комплексное обучение с гарантией трудоустройства.

• Курс «Введение в информационную безопасность». Ты узнаешь о профессиях в информационной безопасности, системами и инструментами, которые используют ИБ-специалисты.
• Курс «Анализ безопасности веб-проектов». Курс не новый, но это по прежнему полезный бесплатный материал, который можно использовать для понимания основ кибербезопасности в разработке.
• Курс «Математика в кибербезопасности». Узнаешь, как комбинаторика, арифметика и булева алгебра применяются в криптографии — направлении информационной безопасности, методе защиты информации путём шифрования.
• Курс «Стеганографические методы защиты информации». Теория и практика по стенографии — науке о скрытой передаче данных.
• Базовый курс по CTF на Stepik. CTF — спортивная информационная безопасность, которая набирает в последнее время большую популярность. Курс будет полезен всем, кто хочет познакомиться с основами информационной безопасности, а также тем, кто интересуется играть в CTF.
• Курс «Профессия — Белый Хакер». Научишься имитировать атаки на IT-инфраструктуру, искать уязвимости, анализировать трафик, изучишь информационную безопасность и познакомишься с профессией белого хакера.
• Турниры по кибербезопасности. Если хочешь практиковаться — участвуй в бесплатных CTF-соревнованиях или решай открытые задачи. Популярные площадки: CTFtime, Google CTF, DEF CON.
• OWASP Top 10 — ежегодный рейтинг самых распространённых уязвимостей в веб-приложениях.

Если тебе надоело собирать важную информацию из разных источников и сомневаться в своих навыках, приглашаем тебя на обучение с трудоустройством. Научись писать качественный и безопасный код за 9 месяцев, в финале гарантировано трудоустройство, это условие будет прописано в нашем договоре. Выбирай курс по Java, Go или frontend-разработке. Узнай подробнее по ссылке.