Безопасность
OWASP Top 10: тест на припоминание
Припоминание побеждает перечитывание. Для каждого промпта проговори или запиши полный ответ по памяти, прежде чем открыть модельный — именно усилие припоминания закрепляет материал, когда ты ревьюишь реальный код.
Реконструируй стержень юнита — почему Broken Access Control стал #1, что значит deny-by-default в коде, переосмысление причины вместо симптома, категории эпохи проектирования и как защищаются от SSRF — не подглядывая в урок.
- 01Почему Broken Access Control поднялся до #1 в 2021 и что значит 'deny by default' в коде?
- 02Объясни переосмысление 'причина вместо симптома' в 2021 на примере Sensitive Data Exposure.
- 03Что такое Insecure Design (A04), чем он отличается от бага в коде и почему его нельзя залатать?
- 04Что такое SSRF (A10), почему он попал в рейтинг при скудных данных и как от него защищаться?
- 05Почему 'Vulnerable & Outdated Components' (A06) — твоя проблема и какой процесс не даёт категории дрейфовать?
- 06Как сеньор на самом деле должен читать Top 10 — как чек-лист или как что-то иное?
Если ты смог реконструировать каждый ответ по памяти, ты держишь стержень юнита: Broken Access Control — #1, потому что он одновременно самый распространённый и среди самых вредоносных, чинится серверными deny-by-default проверками; список 2021 переорганизован вокруг корневых причин (Cryptographic Failures, не Sensitive Data Exposure); Insecure Design называет изъяны, которые не закрыть патчем; SSRF заслужил слот голосованием практиков и защищается allowlist’ингом и блокировкой metadata; уязвимые компоненты — это твои CVE и требуют SBOM плюс CI-сканирования; а весь список — карта приоритизации, а не чек-лист.