Chuyện Gì Đã Xảy Ra? Hệ thống ví lạnh đa chữ ký (Multisig Cold Wallet) từ lâu đã được xem là một trong những giải pháp bảo mật hàng đầu cho sàn giao dịch tiền mã hóa. Nhưng vụ tấn công vào Bybit vừa qua lại cho thấy một điều đáng lo ngại: bảo mậtContinueContinue reading “Phân tích kỹ thuật cơ bản trong vụ hack của Bybit”
Category Archives: Security Solutions
Các form biometric được định nghĩa trong CDD
Các phương pháp xác thực sinh trắc học được phân thành ba lớp: Lớp 3 (trước đây gọi là Mạnh), Lớp 2 (trước đây gọi là Yếu) và Lớp 1 (trước đây gọi là Thuận tiện). Mặc dù cả ba lớp đều có thể được sử dụng để mở khóa thiết bị, chỉ có sinhContinueContinue reading “Các form biometric được định nghĩa trong CDD”
JWT và câu chuyện Revoke Token
I. GIỚI THIỆU JWT (JSON Web Token) được sinh ra như một công cụ giúp truyền tải thông tin giữa client và server một cách bảo mật, nhất là trong các hệ thống stateless. Tuy nhiên, cũng với tính stateless khiến việc revoke token trở thành thách thức, nhất là trong các tình huống như:ContinueContinue reading “JWT và câu chuyện Revoke Token”
Hướng dẫn thiết lập log cảnh báo security ứng dụng
I. GIỚI THIỆU Trong môi trường công nghệ ngày càng phát triển, bảo mật ứng dụng trở thành một trong những yếu tố hàng đầu cần được chú trọng. Việc giám sát và ghi nhận các sự kiện bảo mật thông qua log cảnh báo là phương pháp quan trọng giúp phát hiện kịp thờiContinueContinue reading “Hướng dẫn thiết lập log cảnh báo security ứng dụng”
Chuyển đổi SA key sang Workload Identity
I. GIỚI THIỆU Thay vì sử dụng Service Account keys, Workload Identity cho phép các workload xác thực bằng cách sử dụng danh tính của chúng mà không cần lưu trữ các khóa bí mật. Workload Identity là một tính năng của Google Cloud cho phép bạn quản lý và cấp phát danh tính choContinueContinue reading “Chuyển đổi SA key sang Workload Identity”
New risks from generative AI
Malicious use of deepfakes: Attacker can take advantage of using AI for producing a fake voice, video. Data leaks that expose confidential corporate information, extracting sensitive training data(‘model inversion’): API key, IP, source code, sensitive training data in general, PII. Data poisoning (corrupting training data): Attacker can inject a lot of fake news, fake informationContinueContinue reading “New risks from generative AI”
X-Content-Type-Options
Content-Type-Options là một response header cho phép trình duyệt chống lại các lỗ hổng kiểu nội dung hoặc các lỗ hổng MIME MIME sniffing là một tính năng quan trọng mà hầu hết các trình duyệt web sử dụng để kiểm tra và điều chỉnh loại nội dung của tài nguyên đang được tải. VíContinueContinue reading “X-Content-Type-Options”
RPO, RTO, WRT, MTD là gì?
Hiện tại có khá nhiều khái niệm trong mảng khôi phục dữ liệu và lên kế hoạch khôi phục thảm họa (Data Recovery and Disaster Recovery Plan) như là RPO, RTO, WRT, MTD, WTH, chắc là a/e cũng đã từng đọc qua, giờ cùng nhau tìm hiểu nhé. RPO là viết tắt của Recovery PointContinueContinue reading “RPO, RTO, WRT, MTD là gì?”
Cách cấu hình và vận hành modsecurity
I. GIỚI THIỆU Xin chào anh em, ModSecurity là một công cụ mã nguồn mở mạnh mẽ, thường được gọi là một Web Application Firewall (WAF), giúp bảo vệ các ứng dụng web khỏi các cuộc tấn công nằm trong OWASP top 10. Được phát triển bởi SpiderLabs, ModSecurity hỗ trợ nhiều nền tảng webContinueContinue reading “Cách cấu hình và vận hành modsecurity”
Signed URLs trên GCP và các vấn đề security
I. Giới thiệu Nếu bạn từng làm việc với dịch vụ lưu trữ đám mây (ví dụ: AWS S3 hoặc GCP Cloud Storage), bạn có thể biết rằng việc tạo Signed URL là một cách để cung cấp quyền truy cập an toàn và tạm thời đối với các đối tượng lưu trữ trên cácContinueContinue reading “Signed URLs trên GCP và các vấn đề security”
Nhat Truong Blog 