Защита веб-приложений: от атак (OWASP Top 10), скрейпинга, ботов, DDoS.
Оглавление
- Защита API от скрейпинга — стратегия и фазы защиты публичного API
- TLS fingerprinting — JA3/JA4: идентификация клиентов по TLS-хендшейку
- HMAC-подпись API запросов — подпись запросов фронтенда секретным ключом
- Поведенческий анализ трафика — скоринг, tarpit, детектирование ботов
- Детекция ботов по User-Agent — дефолтные UA HTTP-библиотек, whitelist
- Dry-run rollout для anti-bot правил — shadow mode, калибровка, false positive rates
- Блокировка AI-краулеров — nginx map + robots.txt для GPTBot, ClaudeBot и др.
- AI poisoning — скрытые инструкции в HTML для дезинформации LLM
- Honeypot-эндпоинты для API — фейковые API-пути для обнаружения скраперов
- Pagination hardening — ограничение глубины пагинации
- Proof-of-Work для API — вычислительная задача перед запросом (ALTCHA)
- CrowdSec — open-source IDS с коллаборативной IP-репутацией