🛡️ Khóa Học An Toàn Thông Tin – Security for BA & Tester

💼 Nắm vững OWASP Top 10 – Phát hiện & phòng tránh lỗ hổng ngay từ giai đoạn phân tích & kiểm thử

📌 Giới thiệu tổng quan

Trong kỷ nguyên số, an toàn thông tin không còn là trách nhiệm riêng của đội ngũ kỹ thuật. Những lỗ hổng nghiêm trọng như truy cập trái phép, rò rỉ dữ liệu, thao túng quyền… hoàn toàn có thể bắt nguồn từ yêu cầu thiếu rõ ràng của BA (Business Analyst) hoặc quá trình kiểm thử chưa đầy đủ của Tester.

👉 Khóa học “Security for BA & Tester” được thiết kế nhằm giúp BA và Tester nâng cao nhận thức & kỹ năng phát hiện lỗ hổng bảo mật sớm, ngay từ giai đoạn đầu của vòng đời phát triển phần mềm.

Khóa học tập trung vào 10 nhóm lỗ hổng bảo mật phổ biến nhất theo chuẩn OWASP Top 10, cung cấp các ví dụ thực tế, checklist & template hỗ trợ công việc, phù hợp với người không có nền tảng lập trình sâu.

🎯 Bạn sẽ học được

• ✅ Hiểu rõ khái niệm và mức độ nguy hiểm của OWASP Top 10

• 🔍 Biết cách phát hiện & phân tích các lỗ hổng thường gặp trong dự án phần mềm

• 📄 Sử dụng checklist, template chuyên dụng dành cho BA & Tester để giảm thiểu rủi ro bảo mật

• 🧠 Xây dựng tư duy bảo mật chủ động, phối hợp hiệu quả với Developer & Security Team

• 🚀 Nâng cao năng lực nghề nghiệp, đáp ứng yêu cầu bảo mật trong các dự án lớn

👨‍💻 Đối tượng phù hợp

• Business Analyst (BA) đang hoặc chuẩn bị tham gia các dự án phần mềm

• Tester, QA Engineer muốn bổ sung kiến thức bảo mật để kiểm thử tốt hơn

• Developer có nền tảng cơ bản, muốn hiểu sâu hơn về khía cạnh bảo mật ứng dụng

• Người quan tâm đến bảo mật phần mềm nhưng chưa có nền tảng lập trình chuyên sâu

🧠 Yêu cầu đầu vào

• Có kiến thức cơ bản về hệ thống phần mềm

• Từng tham gia dự án với vai trò BA, Tester hoặc Developer

• Biết sử dụng hoặc hiểu cơ bản về API là một lợi thế

🧭 Lộ trình khóa học chi tiết

🟦 Phần 1: Nhận thức về An toàn thông tin (Security Awareness)

⏱ Thời lượng: 4 bài

• Giới thiệu khóa học & giảng viên

• Phần 1: Nhận thức cơ bản về an toàn thông tin – vai trò của BA & Tester

• Các thống kê, ví dụ về thiệt hại do mất ATTT gây ra trên thực tế

• Khái niệm An toàn thông tin & mô hình CIA (Confidentiality – Integrity – Availability)

👉 Mục tiêu: Giúp học viên hiểu rõ tầm quan trọng của bảo mật, cách nó ảnh hưởng đến mọi giai đoạn phát triển phần mềm.

🟨 Phần 2: Kiến thức nền tảng về An toàn thông tin

⏱ Thời lượng: 3 bài

• Các yếu tố cấu thành an toàn thông tin (Phần 1 & 2)

• Tổng quan về OWASP Top 10 – chuẩn tham chiếu quốc tế cho bảo mật ứng dụng web

👉 Mục tiêu: Xây dựng nền kiến thức chuẩn để hiểu & áp dụng các nhóm lỗ hổng trong các phần tiếp theo.

🟥 Phần 3: Broken Access Control – Kiểm soát truy cập không đúng cách

⏱ Thời lượng: 9 bài

• Giới thiệu nhóm lỗ hổng Broken Access Control

• A01: Phân quyền tối thiểu (Least Privilege) & Deny by Default

  • Ví dụ thực tế

  • Phòng tránh (2 bài chi tiết)

• Lỗ hổng IDOR (Insecure Direct Object Reference)

  • Ví dụ & cách phòng tránh

• Lỗ hổng Leo thang đặc quyền (Privilege Escalation)

  • Phân loại & biện pháp ngăn ngừa

• Checklist kiểm soát truy cập cho BA & Tester

👉 Mục tiêu: Học viên có khả năng phát hiện & mô tả rõ ràng các lỗi phân quyền, tránh bỏ sót trong yêu cầu và kịch bản kiểm thử.

🟩 Phần 4: Cryptographic Failures – Thất bại về mã hóa

⏱ Thời lượng: 5 bài

• Nhận diện các tình huống mã hóa không an toàn (dữ liệu nhạy cảm, truyền tải, lưu trữ)

• Các ví dụ lỗi thường gặp: sử dụng thuật toán yếu, thiếu SSL/TLS, hardcode key…

• Hướng dẫn cách BA/Test đặt yêu cầu & kiểm thử tình huống mã hóa

• 5 bài chuyên sâu phân tích các tình huống Cryptographic Failures thực tế

👉 Mục tiêu: Trang bị tư duy nhận biết lỗ hổng mã hóa mà không cần viết code, hỗ trợ quá trình phân tích & kiểm thử.

🟧 Phần 5: Injection – Lỗ hổng chèn mã độc qua đầu vào

⏱ Thời lượng: 13 bài

• Giới thiệu nhóm lỗ hổng Injection

• Phân loại các kiểu Injection phổ biến

• SQL Injection:

  • Ví dụ cụ thể

  • Nguyên nhân & cách phòng tránh cho Tester & BA

• OS Command Injection:

  • Ví dụ

  • Phân tích nguyên nhân (2 bài)

  • Cách kiểm thử & phát hiện lỗi (Phòng tránh)

• LDAP Injection: Nguyên nhân & biện pháp ngăn ngừa

• Template Injection: Khái niệm, ví dụ, phòng tránh

• XSS (Cross-Site Scripting):

  • Phân loại (Reflected, Stored, DOM-based)

  • Nguyên nhân & cách phòng tránh

👉 Mục tiêu: Giúp học viên hiểu cơ chế Injection, viết kịch bản test chính xác & phát hiện các lỗ hổng này sớm.

🏆 Kết quả sau khóa học

Sau khi hoàn thành, bạn sẽ:

• ✅ Nắm vững 10 nhóm lỗ hổng theo OWASP Top 10

• 🧠 Có tư duy bảo mật chủ động cho BA & Tester

• 📝 Sử dụng checklist, template chuyên dụng để phát hiện và phòng tránh lỗi

• 🧰 Biết phối hợp với Developer/Security Team để nâng cao chất lượng dự án

• 🚀 Tăng năng lực nghề nghiệp và lợi thế cạnh tranh trong các dự án phần mềm

🕒 Thông tin khóa học

• ⏱ Tổng thời lượng: 3 giờ video theo yêu cầu

• 📂 9 tài nguyên có thể tải xuống

• 📱 Truy cập mọi lúc trên thiết bị di động & TV

• ♾ Quyền truy cập trọn đời + cập nhật miễn phí

• 🧾 Giấy chứng nhận hoàn thành