Глоссарий терминов на букву З

Zero-Day (Уязвимость нулевого дня): что скрывается за громким ярлыком

В среде специалистов по безопасности бытует опасное заблуждение: многие полагают, что Zero-Day — это любая недавно обнаруженная ошибка в коде. На практике это категория уязвимостей, о которой разработчику ничего не известно, и под эксплойт для которой ещё не выпущен патч. С точки зрения эксперта, главный риск здесь — не сама «дыра», а временное окно, когда злоумышленник уже использует её, а команда защиты даже не подозревает об атаке. Профессиональный совет: не полагайтесь на антивирусы как на единственный барьер — Zero-Day атаки часто обходят сигнатурные методы. Единственный рабочий контур — поведенческий анализ (EDR-системы) и строгая политика минимальных привилегий.

Захват сессии (Session Hijacking): технология, которую часто путают с кражей пароля

Многие веб-мастера уверены: если на сайте стоит HTTPS, то сессия защищена. Это классическая ошибка. Захват сессии (Session Hijacking) — это перехват временного идентификатора (session ID), а не пароля. Даже если трафик зашифрован на канальном уровне, сам маркер может быть украден из-за XSS-уязвимости, «плавающих» куков или неверной настройки атрибутов SameSite и HttpOnly. Эксперты призывают смотреть на защиту сессий как на многослойный процесс:

• Не используйте предсказуемые генераторы идентификаторов — это точка входа для атаки угадыванием (session prediction).
• Регулярно меняйте ID сессии — по таймеру и при смене уровня доступа.
• Привязывайте сессию к IP-адресу и User-Agent — но учтите, что для мобильных сетей это может вызвать ложные срабатывания.

Знания (Knowledge): что эксперты вкладывают в термин в контексте веб-безопасности

В глоссариях часто пишут сухо: «Знания — совокупность фактов и информации». Для специалиста по защите веб-ресурсов это неверное определение. Знания в нашей сфере — это структурированные сведения, прошедшие проверку в бою и привязанные к конкретному контексту. Например, знание того, что «SQL-инъекции опасны» — мёртвый груз. А рабочее знание формулируется иначе: «При использовании ORM с параметризованными запросами риск падает на 90 %, но даже в этом случае нужно профилировать запросы на Race Condition». Это и есть профессиональная призма: не запоминать, а связывать факты с векторами атак.

Защита периметра (Perimeter Defense): почему эта концепция устарела на 80 %

Начинающие администраторы до сих пор воспринимают защиту периметра как единственный рубеж — файервол + DPI. Эксперт по современным веб-технологиям скажет иначе: в эпоху облаков, микросервисов и удалённой работы граница сети размыта. Положиться на периметр — значит оставить уязвимость внутри контура. Профессиональный ход — Zero Trust Network Access (ZTNA), где каждый запрос проверяется независимо от источника. Игнорирование этого принципа — главная причина утечек баз данных в 2024–2025 годах, когда атакующий, пройдя периметр через легитимный VPN, свободно перемещался внутри.

Заверяющий сертификат (CA Certificate): обязательная проверка, которую пропускают 90 % системных администраторов

Распространённое убеждение: если на сайте горит зелёный замочек, сертификат подлинный. Ловушка: заверяющий сертификат (CA) может быть скомпрометирован, или же использован самоподписанный сертификат из внутреннего CA, которому браузер доверяет автоматически. Специалист по безопасности рекомендует проверять не просто статус выдачи, а цепочку доверия до корневого центра. Частая профессиональная ошибка — использование Wildcard-сертификатов: они удобны, но при компрометации одного поддомена под угрозой все сабдомены. Итог: для критичных узлов применяйте EV-сертификаты и настраивайте Certificate Transparency в обязательном порядке.

Добавлено: 27.04.2026