Bài viết & Thông báo

IPv4 Source Route Attacks - Part 1

Trong các trường thông tin điều khiển của IPv4, Option là trường không cố định (có thể dùng để kiểm tra hoặc gỡ lỗi) và ít sử dụng. Mặc dù Option là tùy chọn khi đóng gói gói tin IP nhưng đây là trường thông tin hợp lệ và phần mềm ứng dụng bắt buộc phải xử lý. Lợi dụng điều này, tội phạm dùng Option để thực hiện tấn công mạng. Ví dụ dưới đây mô tả một cuộc tấn công chuyển tiếp bằng cách dùng trường Loose Soure Route (LSR) để vượt qua kiểm soát bởi ACL trên thiết bị mạng đóng vai trò như tường lửa cơ bản (không phải chuyên dụng).

Lỗ hổng IDOR không chỉ là lỗi kiểm tra id, mà là thất bại của tư duy phân quyền theo tài nguyên

IDOR không chỉ là lỗi đổi một ID trong URL mà là biểu hiện trực tiếp của Broken Access Control khi hệ thống truy xuất tài nguyên dựa trên object reference do client cung cấp nhưng không ràng buộc quyền thực tế của caller trên resource đó. Muốn xử lý tận gốc, ứng dụng phải chuyển từ tư duy kiểm tra chức năng đơn thuần sang authorization theo tài nguyên, kết hợp ownership, tenant boundary, ACL, kế thừa quyền, kiểm soát ở tầng service, repository và database để chặn truy cập trái phép một cách nhất quán.

Zero trust architecture dưới góc nhìn của một appsec engineer

Nếu nhìn từ góc độ của một AppSec engineer, Zero Trust Architecture không chỉ là câu chuyện của hạ tầng mạng hay sản phẩm bảo mật. Đây là một cách thiết kế hệ thống sao cho mọi truy cập đều phải đi qua các giả định tin cậy rõ ràng, các điểm kiểm soát có chủ đích, và các quyết định truy cập có thể kiểm chứng. Giá trị lớn nhất của Zero Trust nằm ở chỗ nó buộc kiến trúc phải trả lời được ai đang truy cập, từ đâu, bằng thiết bị nào, tới tài nguyên gì, với mức rủi ro nào, và trong ngữ cảnh nào thì được phép đi tiếp. Với AppSec designer, đây chính là cách chuyển bảo mật từ tầng khẩu hiệu sang tầng kiến trúc và cơ chế thực thi.

Cùng xem, khi AI tham gia viết code, năng lực thiết kế mới quyết định hệ thống an toàn đến đâu (Opaque ID Design)

AI đang giúp lập trình viên tạo API nhanh hơn, nhưng cũng đang làm lộ rõ khoảng cách giữa viết được mã và hiểu được hệ thống mình đang xây. Một ví dụ điển hình là việc nhiều ứng dụng vẫn công khai primary key của cơ sở dữ liệu ra ngoài endpoint, từ đó mở đường cho lỗi tham chiếu đối tượng trực tiếp không an toàn (Insecure Direct Object Reference, IDOR). Định danh mờ (Opaque ID) là một quyết định thiết kế hữu ích để giảm khả năng suy diễn và enumeration, nhưng giá trị thật của nó chỉ xuất hiện khi người làm hiểu đúng bản chất, tránh các anti pattern, và đặt nó trong bức tranh tổng thể của authorization, validation, logging, transaction, cache, và kiểm soát rủi ro toàn hệ thống. Trong thời đại AI, lợi thế không còn nằm ở tốc độ sinh mã, mà nằm ở chiều sâu nhận thức về hậu quả thiết kế.

HTTPS Session

Với vai trò là một CA gốc (root CA), máy chủ VeriSign đã tạo một cặp khóa (VS Pub Key – khóa công khai, VS Priv Key – khóa riêng). VeriSign sử dụng VS Priv Key để ký vào VS Pub Key của mình và tạo ra chứng thư số gốc (Root certificate, CA certificate) – đây được gọi là chứng thư số tự ký (self-signed certificate). (Việc ký chứng thư số sẽ được đề cập trong Bước E.) Lưu ý, các tổ chức lớn và quan trọng như VeriSign không dùng chứng thư gốc cao nhất của họ để ký chứng thư khách hàng mà sẽ sử dụng hệ thống phân cấp của các CA.

CRYPTOGRAPHIC SYSTEMS – Part 3

CRYPTOGRAPHIC SYSTEMS – Part 2

Agentic SOC 2026: Khi AI Agent Tham Gia vào Trung Tâm Giám Sát Bảo Mật

"Agentic SOC không đơn thuần là thêm một module AI vào hệ thống. Đó là sự tiến hóa từ những kịch bản (playbook) cứng nhắc sang mô hình suy luận bán tự chủ. Khám phá cách các AI Agent giải quyết bài toán 'nhiễu' dữ liệu, làm giàu ngữ cảnh sự cố và lộ trình 4 giai đoạn để triển khai một SOC thông minh nhưng vẫn trong tầm kiểm soát.

Kiến thức cơ bản về mật mã học cho kỹ sư phần mềm và kỹ sư an toàn ứng dụng

Mật mã học (cryptography) nên được xem như một công cụ giảm thiểu ở mức kiến trúc (architectural mitigation tool), có nhiệm vụ bảo vệ tính bí mật (confidentiality), tính toàn vẹn (integrity), tính xác thực (authenticity) và trách nhiệm giải trình (accountability) khi được đặt đúng vị trí trong hệ thống và được quản lý xuyên suốt toàn bộ vòng đời của nó.

CVE-2026-40175: Axios Prototype Pollution → IMDSv2 Bypass + RCE (Phân tích chi tiết)

Linux vạch ranh giới với AI trong lập trình: công cụ có thể dùng, trách nhiệm không thể chuyển giao

Cộng đồng phát triển Linux vừa đưa ra một thông điệp rất rõ: AI có thể hỗ trợ viết code, nhưng không bao giờ thay thế trách nhiệm của con người đối với chất lượng, lỗi sai và khả năng bảo trì. Trong một hệ thống có yêu cầu cực cao như kernel, tốc độ tạo code không có giá trị nếu người gửi bản vá không thực sự hiểu, kiểm tra và chịu trách nhiệm cho từng dòng mã.

Chạy Gemma 4 26B Cục Bộ với LM Studio 0.4.0 và Kết Nối Claude Code Offline

Chạy model ngôn ngữ lớn 26 tỷ tham số trên laptop cá nhân từng là điều không tưởng. Với Gemma 4 26B-A4B và LM Studio 0.4.0, điều đó giờ chỉ cần một lệnh terminal và 48 GB RAM. Bài viết phân tích tại sao kiến trúc Mixture-of-Experts cho phép Gemma 4 đạt Elo 1441 cạnh tranh với các model 400 tỷ tham số, cách daemon headless llmster biến LM Studio thành inference server chạy hoàn toàn không cần GUI, và đặc biệt là cách kết nối Claude Code với Gemma 4 qua endpoint tương thích Anthropic để có môi trường lập trình AI hoàn toàn offline. Kèm theo là phân tích bộ nhớ chi tiết theo từng ngưỡng context window, lý do không nên bật speculative decoding với MoE, và con số thực tế: 51 token mỗi giây cho chat độc lập, giảm còn khoảng 28 khi chạy qua Claude Code.