Подтемы
140 вопросов
-
middle theory Объясните, как работает refresh token rotation и зачем он нужен. Какие механизмы используются для его реализации? Приведите пример кода на любом языке.
-
middle theory Какие меры безопасности следует принимать при использовании JWT? Опишите, как защитить приложение от атак, связанных с утечкой токенов или повторным использова…
-
middle theory Какие trade-offs возникают при выборе между JWT и session-based аутентификацией? В каких сценариях предпочтительнее использовать JWT, а в каких — сессии?
-
middle mcq Какое утверждение о JWT (JSON Web Token) верно в контексте аутентификации и авторизации?
-
middle theory Объясните ключевые различия между OAuth2 и OpenID Connect (OIDC), а также в каких сценариях каждый из них предпочтительнее использовать. Приведите примеры испо…
-
middle theory Объясните, в чем разница между Implicit Flow и Authorization Code Flow в OAuth2. В каких случаях каждый из них предпочтительнее и почему?
-
middle theory Объясните, как работают refresh tokens в OAuth2. Какие меры безопасности нужно принимать при их использовании? Приведите пример сценария, где refresh token кри…
-
middle mcq Какой из следующих грантов OAuth2 используется для аутентификации клиентских приложений (например, backend-сервисов) без участия пользователя, и каковы его клю…
-
middle theory Из чего состоит JWT? Чем отличается JWS от JWE? Зачем нужна подпись и почему нельзя «доверять» нагрузке без её проверки?
-
middle theory Зачем нужна пара access + refresh токенов? Почему access короткий, а refresh длинный, и как сделать ротацию refresh правильно?
-
middle correct_vs_wrong Два варианта декодирования JWT в Python. Какой безопасный?
-
middle mcq Какое утверждение про JWT-алгоритмы НЕВЕРНО?
-
senior theory Какие OAuth2 flow существуют, какой выбрать для SPA / mobile / server-side веб / server-to-server, и чем OIDC отличается от OAuth2?
-
senior theory Что такое PKCE и какую конкретно атаку он предотвращает? Достаточно ли в 2026 использовать только client_secret вместо PKCE?
-
middle theory Чем CSRF отличается от XSS? Какие защиты от каждой и почему «использовать JWT вместо cookie» — не всегда правильное решение CSRF?
-
middle mcq Какое утверждение про `SameSite` cookie НЕВЕРНО?
-
senior theory Какой алгоритм хеширования паролей выбрать в 2026: bcrypt, scrypt, Argon2id? Что такое cost-фактор и как его подбирают?
-
middle theory Зачем нужна соль (salt) в хешировании паролей? Чем salt отличается от pepper, и нужен ли pepper на практике?
-
middle theory Какие виды 2FA существуют, чем TOTP отличается от WebAuthn/Passkeys, и почему SMS-2FA сейчас не рекомендуют?
-
senior design Спроектируй процесс восстановления доступа, если пользователь потерял второй фактор (телефон с TOTP / устройство с Passkey). Какие угрозы учесть?
-
middle theory Sessions (server-side state) vs JWT (stateless) — когда что выбрать? Какие типичные ошибки в реализации session-based auth?
-
middle theory Чем RBAC отличается от ABAC, какие limitations у RBAC и когда переходить на ABAC? Приведи пример того что в RBAC выразить сложно/нельзя.
-
middle theory Объясните, чем отличаются подходы к хранению сессий на основе cookies и JWT. В каких сценариях вы бы предпочли один из них и почему?
-
middle theory Как вы бы защитили приложение от атак CSRF при использовании сессий? Опишите механизмы и их реализацию.
-
middle theory Как вы бы спроектировали систему управления сессиями для масштабируемого веб-приложения? Какие компоненты и технологии вы бы использовали?
-
middle mcq Какой из подходов наиболее безопасно реализует обновление сессии (refresh token) при использовании JWT для аутентификации?
-
middle theory Как бы вы реализовали ABAC в системе, где доступ зависит от атрибутов пользователя (например, роль, отдел, уровень доступа) и атрибутов ресурса (например, тип …
-
middle theory Представьте, что вы проектируете систему управления доступом для компании с 1000+ сотрудников и 10000+ ресурсов. В какой ситуации вы бы выбрали RBAC, а в какой…
-
middle theory Какие технические сложности возникают при масштабировании ABAC? Как бы вы решили проблему производительности при оценке политик с тысячами атрибутов и миллиона…
-
middle mcq Какой из подходов (RBAC или ABAC) лучше подходит для сценария, где доступ к ресурсу должен зависеть от динамических атрибутов пользователя (например, 'время су…
-
middle theory Объясните, как правильно реализовать защиту от CSRF в веб-приложении, используя токены и атрибуты `SameSite`. Почему простое использование `SameSite=Strict` мо…
-
middle theory Какие методы защиты от XSS вы бы применили в веб-приложении с динамическим рендерингом контента (например, на React)? Почему полное использование `textContent`…
-
middle theory Почему защита от CSRF с помощью `HttpOnly` и `Secure` флагов cookie не является достаточной? Приведите пример сценария, где это может привести к уязвимости, и …
-
middle mcq Какой из следующих подходов является наиболее эффективным для защиты от CSRF-атак в веб-приложении с использованием cookies для аутентификации?
-
middle theory Какие меры безопасности следует принимать при хранении хешированных паролей в базе данных, если произошла их утечка? Какой алгоритм хеширования лучше всего под…
-
middle theory Какие преимущества и недостатки у использования PBKDF2 по сравнению с bcrypt, scrypt или Argon2id при хешировании паролей? В каких сценариях PBKDF2 всё ещё мож…
-
middle theory Какие последствия могут быть, если хеши паролей хранятся без соли? Приведите пример, как злоумышленник может воспользоваться этим для атаки на систему. Как сол…
-
middle mcq Какой из следующих подходов наиболее безопасен для хеширования паролей в системе с высокими требованиями к безопасности? Объясните, почему остальные варианты м…
-
middle theory Опиши процесс реализации MFA в веб-приложении. Какие компоненты и протоколы ты бы использовал, и как обеспечить безопасность хранения и передачи данных?
-
middle theory Какие trade-offs существуют между использованием TOTP и WebAuthn в MFA? В каких сценариях использования один из методов предпочтительнее?
-
middle theory Как система должна обрабатывать ошибки при использовании 2FA (например, неверный код, истекший срок, блокировка аккаунта)? Какие угрозы и пользовательские сцен…
-
middle mcq Какой из следующих методов является безопасным способом хранения секретного ключа TOTP на сервере?
-
senior theory JWT — stateless, и это его главная слабость для revocation. Сравни 3 стратегии отзыва (blacklist, short-TTL + refresh, jti tracking), их latency/storage cost, …
-
senior theory Спроектируй JWK rotation без downtime. Что в JWKS endpoint, как клиенты кэшируют, какой grace period для старых ключей, как rotation выглядит в k8s/Vault?
-
senior theory Что такое refresh token rotation + reuse detection? Покажи схему таблицы, алгоритм обнаружения reuse, и как обрабатывать race condition с двумя параллельными r…
-
senior theory Сравни CSP nonce vs hash для inline scripts. Что такое strict-dynamic? Покажи пример CSP политики и расскажи про Trusted Types API — как он защищает от DOM XSS.
-
senior theory Подробно расскажи про cookie security attributes: HttpOnly, Secure, SameSite (Lax/Strict/None), `__Host-` / `__Secure-` prefixes. Покажи production-grade cooki…
-
senior theory Что такое Open Policy Agent (OPA) и язык Rego? Покажи пример политики для ABAC (multi-tenant с атрибутами user.role, resource.owner_id, action), как deploy в k…
-
senior theory В multi-tenant SaaS у тебя слои разрешений: tenant-policy, role-policy, resource-ACL, explicit user grants/denies. Как комбинировать (deny-overrides vs allow-o…
-
senior theory Что такое session fixation и как от неё защищаться? Покажи правильный flow login с ротацией session id, и polный список cookie attrs для session cookie на prod…
-
middle theory DEPRECATED: Access Control Cheatsheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authentication Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authorization Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authorization Testing Automation Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Choosing and Using Security Questions Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Clickjacking Defense Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Content Security Policy Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Credential Stuffing Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Cross-Site Request Forgery Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Cross Site Scripting Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory DOM based XSS Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Forgot Password Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Insecure Direct Object Reference Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory JSON Web Token Cheat Sheet for Java. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Multifactor Authentication Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory OAuth 2.0 Protocol Cheatsheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Password Storage Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory SAML Security Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Session Management Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Transaction Authorization Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory XSS Filter Evasion Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle quiz Какой из следующих подходов обеспечивает наилучшую защиту от атак типа 'replay attack' при использовании токенов?
-
middle quiz Какой из следующих механизмов наиболее эффективно предотвращает атаки типа 'brute force' на систему аутентификации?
-
middle quiz Какой из следующих подходов наиболее безопасен для хранения паролей в системе?
-
middle quiz Какой из следующих механизмов наиболее эффективно защищает от CSRF-атак?
-
middle quiz Какой из следующих подходов обеспечивает наилучшую защиту от атак типа 'session hijacking'?
-
middle quiz Какой из следующих механизмов наиболее эффективно предотвращает атаки типа 'credential stuffing'?
-
middle quiz Какой из следующих механизмов наиболее эффективно защищает от атак типа 'man-in-the-middle'?
-
middle quiz Какой из следующих подходов наиболее эффективно защищает от атак типа 'password spraying'?
-
middle quiz Какой из следующих механизмов наиболее эффективно защищает от атак типа 'session fixation'?
-
middle quiz Какой из следующих подходов наиболее эффективно защищает от атак типа 'cross-site scripting (XSS)'?
-
middle quiz Какой из следующих подходов к реализации MFA обеспечивает наименьшую вероятность атаки типа 'credential stuffing'?
-
middle quiz Какой из следующих механизмов обеспечивает наилучшую защиту от атак типа 'replay' при использовании 2FA?
-
middle quiz Какой из следующих факторов наиболее критичен для масштабируемости MFA-системы?
-
middle quiz Какой из следующих подходов к обработке ошибок в MFA наиболее безопасен?
-
middle quiz Какой из следующих методов обеспечивает наибольшую защиту от атак типа 'man-in-the-middle' при использовании 2FA?
-
middle quiz Какой из следующих факторов наиболее важен для обеспечения безопасности при использовании MFA с биометрическими данными?
-
middle quiz Какой из следующих методов обеспечивает наилучшую защиту от атак типа 'account takeover' при использовании 2FA?
-
middle quiz Какой из следующих факторов наиболее важен для обеспечения безопасности при использовании TOTP?
-
middle quiz Какой из следующих подходов наиболее эффективно предотвращает атаки CSRF при использовании токенов?
-
middle quiz Какой из следующих атрибутов cookie наиболее эффективно защищает от XSS?
-
middle quiz Какой из следующих механизмов наиболее эффективно защищает от DOM-based XSS?
-
middle quiz Какой из следующих факторов может привести к неэффективности SameSite=Strict?
-
middle quiz Какой из следующих подходов наиболее эффективно предотвращает CSRF при использовании JWT?
-
middle quiz Какой из следующих факторов может привести к уязвимости CSRF при использовании SameSite=None?
-
middle quiz Какой из следующих механизмов наиболее эффективно защищает от XSS при использовании SPA?
-
middle quiz Какой из следующих факторов может привести к уязвимости при использовании CSP?
-
middle quiz Какой из следующих механизмов наиболее эффективно защищает от CSRF при использовании iframe?
-
middle quiz Какой из следующих подходов к хранению refresh токенов наиболее безопасен при использовании JWT?
-
middle quiz Что происходит при попытке использовать устаревший JWT с истёкшим сроком действия?
-
middle quiz Какой из следующих механизмов обеспечивает наилучшую защиту от повторного использования JWT?
-
middle quiz Какой из следующих алгоритмов подписи JWT наиболее безопасен для использования в production?
-
middle quiz Какой из следующих подходов к обработке refresh токенов наиболее устойчив к race condition?
-
middle quiz Какой из следующих механизмов позволяет наиболее эффективно отслеживать использование JWT в распределённой системе?
-
middle quiz Какой из следующих подходов к JWT-аутентификации наиболее устойчив к атакам типа CSRF?
-
middle quiz Какой из следующих механизмов позволяет наиболее эффективно обновлять ключи подписи JWT?
-
middle quiz Какой из следующих механизмов позволяет наиболее эффективно предотвратить атаки типа replay на JWT?
-
middle quiz Какой из следующих аспектов наиболее критичен при реализации OAuth2 в высоконагруженной системе с множеством клиентов?
-
middle quiz Какой из следующих механизмов позволяет избежать утечки access token при использовании Implicit Flow?
-
middle quiz Какой из следующих механизмов обеспечивает защиту от атаки типа 'token replay' в OAuth2?
-
middle quiz Какой из следующих подходов наиболее эффективен для масштабирования OAuth2 в системах с высокой нагрузкой?
-
middle quiz Какой из следующих аспектов наиболее важен при интеграции OAuth2 с существующими системами безопасности?
-
middle quiz Какой из следующих механизмов наиболее эффективен для предотвращения атак типа 'CSRF' в OAuth2?
-
middle quiz Какой из следующих факторов может привести к утечке access token даже при использовании PKCE?
-
middle quiz Какой из следующих механизмов наиболее эффективен для защиты от атак типа 'token hijacking'?
-
middle quiz Какой из следующих подходов наиболее эффективен для обеспечения безопасности в OAuth2 при использовании мобильных приложений?
-
middle quiz Какой из следующих факторов наиболее критичен для предотвращения атак перебора паролей при использовании хеширования с солью?
-
middle quiz Что происходит с хешами паролей, если один и тот же пароль используется в нескольких системах?
-
middle quiz Какой из следующих подходов наиболее эффективен для защиты от атак перебора паролей?
-
middle quiz Какой из следующих факторов может привести к утечке паролей даже при правильном хешировании?
-
middle quiz Какой из следующих факторов наиболее важен для масштабируемости хеширования паролей?
-
middle quiz Какой из следующих подходов может привести к уязвимости при хешировании паролей?
-
middle quiz Какой из следующих факторов может привести к снижению производительности при хешировании паролей?
-
middle quiz Какой из следующих аспектов является ключевым ограничением RBAC при управлении доступом в распределённой системе?
-
middle quiz Какой из следующих подходов обеспечивает более высокую гибкость при управлении доступом в системе с динамическими правилами?
-
middle quiz Какой из следующих факторов наиболее критичен при выборе между RBAC и ABAC в системе с тысячами пользователей?
-
middle quiz Какой из следующих механизмов может быть использован для повышения производительности ABAC?
-
middle quiz Какой из следующих аспектов может привести к ошибкам в ABAC политике?
-
middle quiz Какой из следующих факторов может привести к увеличению сложности управления в ABAC?
-
middle quiz Какой из следующих факторов может привести к утечке доступа в ABAC?
-
middle quiz Какой из следующих аспектов наиболее важен при тестировании ABAC политик?
-
middle quiz Какой из следующих подходов наиболее эффективен для обработки высокочастотных сессионных запросов в распределённой системе?
-
middle quiz Какой из следующих механизмов наиболее эффективен для обнаружения и предотвращения атак на сессии при высокой нагрузке?
-
middle quiz Какой из следующих подходов наиболее эффективен для масштабирования сессионной системы в микросервисной архитектуре?
-
middle quiz Какой из следующих механизмов наиболее эффективен для предотвращения утечки сессионных данных при использовании HTTP/1.1?
-
middle quiz Какой из следующих подходов наиболее эффективен для обнаружения подозрительной активности в сессиях?
-
middle quiz Какой из следующих механизмов наиболее эффективен для защиты от session hijacking?
-
middle quiz Какой из следующих подходов наиболее эффективен для управления сессиями в высоконагруженных системах?
-
middle quiz Какой из следующих механизмов наиболее эффективен для предотвращения атак типа replay в сессиях?
-
middle quiz Какой из следующих подходов наиболее эффективен для обеспечения отказоустойчивости сессионной системы?