Khóa Học An Toàn Thông Tin – Security for BA & Tester 2025

🛡️ Khóa Học An Toàn Thông Tin – Security for BA & Tester 2025

Bạn là BA (Business Analyst) hay Tester muốn hiểu rõ về bảo mật trong hệ thống phần mềm? Khóa học An Toàn Thông Tin – Security for BA & Tester giúp bạn nắm vững nền tảng về nhận thức an toàn thông tin, phân loại lỗ hổng OWASP Top 10 và cách phòng tránh các rủi ro bảo mật thường gặp trong quá trình kiểm thử và phân tích nghiệp vụ.

🎯 Bạn sẽ học được gì?

Hiểu bản chất và vai trò của An Toàn Thông Tin trong dự án phần mềm. Nhận diện các lỗ hổng phổ biến trong OWASP Top 10. Phân tích nguyên nhân – hậu quả – cách phòng tránh các lỗi bảo mật. Trang bị tư duy “Security First” cho cả BA và Tester trong mọi giai đoạn dự án. Ứng dụng nguyên tắc “Least Privilege” và “Deny by Default” vào kiểm thử. Thực hành nhận diện lỗi Injection, Broken Access Control, Cryptographic Failures, XSS,…

👨‍💻 Khóa học này dành cho ai?

• Business Analyst (BA) cần hiểu rõ quy trình đảm bảo an toàn thông tin khi phân tích yêu cầu.
• Tester, QA muốn phát hiện và kiểm thử các lỗ hổng bảo mật trong ứng dụng.
• Lập trình viên mới muốn có nền tảng vững chắc về bảo mật phần mềm.
• Nhân sự công nghệ thông tin muốn bổ sung kiến thức bảo mật cơ bản và thực tiễn.

📘 Nội dung khóa học chi tiết

Chương 1: Giới thiệu & Nhận thức về An Toàn Thông Tin

Giới thiệu giảng viên và tổng quan khóa học.
Nhận thức về an toàn thông tin – các khái niệm nền tảng.
Thiệt hại do mất ATTT gây ra và các thống kê thực tế.
Khái niệm “An toàn thông tin” và mô hình CIA (Confidentiality – Integrity – Availability).
Các yếu tố quan trọng trong ATTT (Phần 1 & Phần 2).

Chương 2: OWASP Top 10 – Các Lỗ Hổng Bảo Mật Phổ Biến

Giới thiệu OWASP Top 10 – bộ tiêu chuẩn quốc tế về bảo mật ứng dụng web.
Phân tích nhóm Broken Access Control – Lỗ hổng kiểm soát truy cập.

A01 – Phân quyền tối thiểu (Least Privilege) & Deny by Default – Ví dụ và cách phòng tránh.

A01 – Lỗ hổng IDOR (Insecure Direct Object Reference) – Ví dụ và biện pháp ngăn chặn.

A01 – Lỗ hổng leo thang đặc quyền (Privilege Escalation) – Phân loại và phòng tránh.

Tổng hợp và hướng dẫn kiểm thử nhóm Broken Access Control (Phần 1 & Phần 2).

Chương 3: A02 – Cryptographic Failures

Hiểu rõ bản chất các lỗi mã hóa dữ liệu.
5 tình huống phổ biến dẫn đến lỗi Cryptographic Failures.
Phân tích nguyên nhân – hậu quả – cách khắc phục.
Áp dụng các tiêu chuẩn mã hóa an toàn trong kiểm thử hệ thống.

Chương 4: A03 – Injection Attacks

SQL Injection: Cách thức tấn công, ví dụ thực tế, nguyên nhân và biện pháp phòng tránh.

OS Command Injection: Phân tích nguyên nhân, minh họa và phương pháp ngăn chặn.

LDAP Injection: Cách nhận biết và khắc phục lỗ hổng.

Template Injection: Khái niệm, ví dụ và biện pháp xử lý.

XSS (Cross Site Scripting): Phân loại, nguyên nhân và cách phòng tránh.

Chương 5: Tổng kết & Ứng dụng thực tế

Tổng hợp các nhóm lỗ hổng phổ biến và chiến lược kiểm thử bảo mật hiệu quả.
Cách áp dụng kiến thức ATTT trong quy trình BA và kiểm thử phần mềm thực tế.
Thực hành nhận diện và ghi nhận lỗi bảo mật trong báo cáo test.
Tư duy xây dựng sản phẩm an toàn ngay từ giai đoạn yêu cầu & thiết kế.

🔒 Kết quả sau khóa học

• Hiểu rõ và nhận biết được các rủi ro bảo mật phổ biến trong dự án phần mềm.
• Biết cách kiểm thử, báo cáo và gợi ý biện pháp khắc phục lỗi ATTT.
• Áp dụng quy trình “Security by Design” trong vai trò BA và Tester.
• Tự tin khi tham gia các dự án có yêu cầu cao về bảo mật và dữ liệu người dùng.