1. Security Requirements

• Nguyên tắc tạo yêu cầu bảo mật
• Các yêu cầu bảo mật quan trọng cho ứng dụng web

2. Secure Web Application Design

Authentication – Xác thực

• Chuẩn NIST SP800-63B và các mô hình xác thực
• Basic / Digest / Form-based Authentication
• Mật khẩu mạnh, hashing, salt, stretching
• Xử lý khóa tài khoản, chống tấn công danh sách mật khẩu
• 2FA & risk-based authentication

Authorization – Ủy quyền

• Mục tiêu của kiểm soát truy cập
• Các lỗi phổ biến dẫn đến lộ quyền
• Access control models
• OAuth, OpenID, SSO, FIDO…

Session Management – Quản lý phiên

• Vai trò session ID
• Cookie và các thuộc tính cần thiết
• Thiết kế chống tấn công chiếm session
• Logout, session timeout
• CSRF và token

Input Handling – Xử lý đầu vào

• Kiểm tra dữ liệu phía client và server
• Encoding
• Xử lý file, XML, deserialize

Output Handling – Xử lý đầu ra

• Escape ký tự đặc biệt
• HTML/SQL/JSON/HTTP header
• Ngăn chặn chèn script và lỗi injection

HTTPS

• SSL/TLS
• Tấn công vào certificate
• Lựa chọn tiêu chuẩn mã hóa & cấu hình an toàn