Question 1

Người mới cần chuẩn bị gì để hiểu đúng các rủi ro an toàn thông tin trước khi đọc requirement hoặc test case bảo mật?

Accepted Answer

Bạn nên nắm trước các khái niệm nền tảng về an toàn thông tin, hiểu tác động của việc mất ATTT và đọc được mô hình CIA để không tiếp cận security theo kiểu rời rạc, thông qua Bài 1: Nhận thức về an toàn thông tin – các khái niệm nền tảng, Bài 2: Thiệt hại do mất ATTT gây ra và các thống kê thực tế và Bài 3: Khái niệm an toàn thông tin và mô hình CIA.

Question 2

Tester cần nắm những kiến thức bảo mật nào trước khi bắt đầu kiểm thử các lỗ hổng OWASP Top 10 trong ứng dụng?

Accepted Answer

Tester nên hiểu trước OWASP Top 10, bản chất nhóm Broken Access Control và các nguyên tắc phân quyền nền tảng để khi test không chỉ dừng ở việc bấm thử chức năng, dựa trên nội dung của Bài 4: Giới thiệu OWASP Top 10, Bài 5: Broken Access Control và Bài 6: Phân quyền tối thiểu Least Privilege và Deny by Default.

Question 3

BA cần hiểu những nền tảng nào để mô tả yêu cầu bảo mật bám theo CIA và nguyên tắc kiểm soát truy cập?

Accepted Answer

BA cần nắm mô hình CIA, hiểu logic Broken Access Control và các nguyên tắc như Least Privilege, Deny by Default để đặc tả yêu cầu không bỏ sót lớp bảo vệ quan trọng, theo hướng dẫn ở Bài 3: Khái niệm an toàn thông tin và mô hình CIA, Bài 5: Broken Access Control và Bài 6: Phân quyền tối thiểu Least Privilege và Deny by Default.

Question 4

Tester cần thực hiện quy trình kiểm thử như thế nào để phát hiện các lỗ hổng IDOR có thể gây lộ lọt thông tin nhạy cảm của người dùng?

Accepted Answer

Tester nên đi từ việc hiểu nhóm Broken Access Control, sau đó rà soát IDOR theo từng vai trò người dùng và áp dụng quy trình kiểm thử nhóm lỗi này để phát hiện truy cập sai đối tượng, thông qua Bài 5: Broken Access Control, Bài 7: Lỗ hổng IDOR Insecure Direct Object Reference – ví dụ và biện pháp ngăn chặn và Bài 9: Tổng hợp và hướng dẫn kiểm thử nhóm Broken Access Control.

Question 5

BA cần mô tả yêu cầu phân quyền như thế nào để hạn chế nguy cơ Broken Access Control ngay từ giai đoạn đặc tả hệ thống?

Accepted Answer

BA nên đặc tả yêu cầu theo hướng phân quyền tối thiểu, mặc định từ chối nếu chưa được cấp quyền và tách rõ quyền theo vai trò để giảm lỗi kiểm soát truy cập ngay từ đầu, dựa trên nội dung của Bài 5: Broken Access Control, Bài 6: Phân quyền tối thiểu Least Privilege và Deny by Default và Bài 21: Tư duy xây dựng sản phẩm an toàn ngay từ giai đoạn yêu cầu và thiết kế.

Question 6

Tester cần kiểm tra những điểm nào trong luồng đăng nhập và phân quyền để phát hiện nguy cơ Privilege Escalation trước khi release?

Accepted Answer

Tester nên kiểm tra logic quyền giữa các vai trò, các trường hợp vượt quyền và mối liên hệ của chúng với nhóm Broken Access Control để phát hiện sớm hành vi leo thang đặc quyền, theo hướng dẫn ở Bài 5: Broken Access Control, Bài 8: Lỗ hổng leo thang đặc quyền Privilege Escalation – phân loại và phòng tránh và Bài 9: Tổng hợp và hướng dẫn kiểm thử nhóm Broken Access Control.

Question 7

Nhân sự QA cần rà soát dữ liệu và cơ chế mã hóa như thế nào để giảm rủi ro Cryptographic Failures trong hệ thống?

Accepted Answer

Bạn nên đi từ việc hiểu bản chất lỗi mã hóa, nhận diện các tình huống phổ biến dễ gây sai sót và đối chiếu với tiêu chuẩn mã hóa an toàn trong quá trình test, thông qua Bài 10: Hiểu rõ bản chất các lỗi mã hóa dữ liệu, Bài 11: Năm tình huống phổ biến dẫn đến lỗi Cryptographic Failures và Bài 12: Phân tích nguyên nhân – hậu quả – cách khắc phục và áp dụng các tiêu chuẩn mã hóa an toàn trong kiểm thử hệ thống.

Question 8

Tester cần kiểm tra các đầu vào nào để nhận diện sớm nguy cơ SQL Injection, OS Command Injection và XSS ở form hoặc API?

Accepted Answer

Tester nên ưu tiên rà soát các điểm nhập liệu có khả năng tác động đến truy vấn, lệnh hệ thống và dữ liệu hiển thị trên giao diện vì đây là các bề mặt tấn công chính của nhóm Injection và XSS, dựa trên nội dung của Bài 13: SQL Injection – cách thức tấn công, ví dụ thực tế, nguyên nhân và biện pháp phòng tránh, Bài 14: OS Command Injection – phân tích nguyên nhân, minh họa và phương pháp ngăn chặn và Bài 17: XSS Cross Site Scripting – phân loại, nguyên nhân và cách phòng tránh.

Question 9

BA và Tester có thể áp dụng kiến thức security vào quy trình dự án như thế nào để giảm lỗi bảo mật từ giai đoạn yêu cầu đến kiểm thử?

Accepted Answer

Khóa học cho phép BA và Tester nối kiến thức ATTT vào quy trình dự án theo hướng liền mạch hơn, từ lúc phân tích yêu cầu đến lúc kiểm thử và tổng hợp lỗi bảo mật, thông qua Bài 18: Tổng hợp các nhóm lỗ hổng phổ biến và chiến lược kiểm thử bảo mật hiệu quả, Bài 19: Cách áp dụng kiến thức ATTT trong quy trình BA và kiểm thử phần mềm thực tế và Bài 21: Tư duy xây dựng sản phẩm an toàn ngay từ giai đoạn yêu cầu và thiết kế.

Question 10

Tester có thể ghi nhận lỗi bảo mật trong báo cáo test như thế nào để dev team dễ tái hiện và xử lý đúng mức độ rủi ro?

Accepted Answer

Tester có thể cải thiện đáng kể cách ghi nhận security bug vì khóa học có phần thực hành nhận diện và ghi nhận lỗi bảo mật trong báo cáo test, đồng thời đặt việc này trong chiến lược kiểm thử bảo mật tổng thể tại Bài 18: Tổng hợp các nhóm lỗ hổng phổ biến và chiến lược kiểm thử bảo mật hiệu quả và Bài 20: Thực hành nhận diện và ghi nhận lỗi bảo mật trong báo cáo test.

Question 11

Sau khóa học, tester có thể tự xây checklist kiểm thử Broken Access Control và Injection ở mức nào?

Accepted Answer

Sau khóa học, tester có thể tự xây checklist nền tảng đến khá thực dụng cho hai nhóm lỗi quan trọng là Broken Access Control và Injection, vì syllabus đã đi từ khái niệm, ví dụ, cách phòng tránh đến hướng dẫn kiểm thử các nhóm lỗi này tại Bài 5: Broken Access Control, Bài 9: Tổng hợp và hướng dẫn kiểm thử nhóm Broken Access Control, Bài 13: SQL Injection – cách thức tấn công, ví dụ thực tế, nguyên nhân và biện pháp phòng tránh, Bài 14: OS Command Injection – phân tích nguyên nhân, minh họa và phương pháp ngăn chặn và Bài 17: XSS Cross Site Scripting – phân loại, nguyên nhân và cách phòng tránh.

Question 12

Sau khóa học, BA có thể đưa tư duy Security by Design vào requirement và design ở mức nào?

Accepted Answer

BA có thể đưa tư duy Security by Design vào requirement và design ở mức nền tảng nhưng rõ ràng hơn, vì khóa học nối trực tiếp giữa ứng dụng ATTT trong quy trình BA với tư duy xây dựng sản phẩm an toàn từ sớm, thông qua Bài 19: Cách áp dụng kiến thức ATTT trong quy trình BA và kiểm thử phần mềm thực tế và Bài 21: Tư duy xây dựng sản phẩm an toàn ngay từ giai đoạn yêu cầu và thiết kế.

Khóa Học An Toàn Thông Tin Security For BA Và Tester Cho Chuyên Viên Nghiệp Vụ - Security for BA & Tester 2025

Nội dung khóa học

Bạn sẽ nhận được gì?