Learn. Break. Defend. Repeat.
Hành trình từ Pentester → Application Security Expert. Chia sẻ lab writeups, tool deep dives, code review notes và DevSecOps thực chiến.
Nói thật luôn: tôi chưa thi CSSLP.
Bài này không phải “kinh nghiệm thi đậu” — mà là cách tôi đang ôn, những tài nguyên tôi tìm thấy (và tự làm ra), và lý do tôi nghĩ chứng chỉ này đáng để theo đuổi nếu bạn đang đi theo hướng AppSec hoặc DevSecOps.
Tôi viết vì khi bắt đầu tìm hiểu về CSSLP, tài nguyên tiếng Việt gần như không có. Hy vọng bài này có ích cho ai đó đang ở cùng điểm xuất phát với tôi.
Hồi còn là sinh viên (và là 1 vozer), OSCP với tôi là thứ gì đó to lớn lắm. Kiểu như nhìn lên trời thấy một ngôi sao rồi tự nhủ “ừ, đẹp đấy” — không dám nghĩ đến chuyện chạm vào.
Ra trường. Đi làm. Có tiền. Rồi một ngày tôi mở trang đăng ký của OffSec và nghĩ: thôi thử xem sao.
Thế là bắt đầu.
Nói thật, khoảng thời gian từ lúc tôi “bắt đầu học OSCP” đến lúc thực sự ngồi vào học nghiêm túc khá dài. Có khá nhiều buổi tối lẽ ra nên cày lab nhưng lại dành cho những thứ vô bổ.
Pentest web không chỉ là tìm lỗi rồi báo cáo — đó là quá trình hiểu sâu cách hệ thống hoạt động, cách lập trình viên suy nghĩ, và tìm ra những chỗ nứt vỡ mà người xây dựng không nhìn thấy.
Nhưng sau một thời gian làm pentest, mình nhận ra: tìm lỗi chỉ là một nửa câu chuyện. Nửa còn lại là đảm bảo lỗi không tái xuất hiện — đó là lý do Application Security ra đời.
Mình là một security researcher đang trên hành trình trở thành Application Security Expert.
Blog này ghi lại toàn bộ quá trình học tập, thực hành và nghiên cứu — từ lab writeups đến DevSecOps thực chiến.
Tìm mình trên GitHub hoặc để lại comment trên từng bài viết.
OWASP Top 10, Burp Suite, PortSwigger Labs
Semgrep, CodeQL, Source Audit
CI/CD Pipeline, SAST/DAST, Threat Modeling
OWASP SAMM, KPIs, Policy & Governance
Logic Bugs, RCE Chains, Cert Prep