Tại sao lại là AppSec?

Pentest web không chỉ là tìm lỗi rồi báo cáo — đó là quá trình hiểu sâu cách hệ thống hoạt động, cách lập trình viên suy nghĩ, và tìm ra những chỗ nứt vỡ mà người xây dựng không nhìn thấy.

Nhưng sau một thời gian làm pentest, mình nhận ra: tìm lỗi chỉ là một nửa câu chuyện. Nửa còn lại là đảm bảo lỗi không tái xuất hiện — đó là lý do Application Security ra đời.

Lộ trình 5 giai đoạn

Mình đang theo đuổi một lộ trình có cấu trúc, từ việc nắm vững pentest thực chiến cho đến xây dựng chương trình bảo mật toàn diện:

  1. Tối ưu kỹ năng Pentest Web/API — OWASP Top 10, Burp Suite, PortSwigger Labs
  2. Whitebox & Code Review — Semgrep, CodeQL, audit mã nguồn thực tế
  3. DevSecOps & SDLC — Tích hợp bảo mật vào quy trình phát triển phần mềm
  4. Quản trị chương trình AppSec — OWASP SAMM, KPIs, policy
  5. Nâng cao: OSWE / eWPTX — Logic bugs, RCE chains, cert prep

Blog này dùng để làm gì?

  • Lab Writeups — ghi lại quá trình giải quyết từng lab, kể cả lúc thất bại
  • Tool Deep Dive — khám phá thực chiến từng công cụ, không chỉ lý thuyết
  • Code Review Notes — chia sẻ những lỗi thú vị phát hiện trong code thật
  • DevSecOps — ghi chép quá trình dựng pipeline CI/CD bảo mật
  • Góc nhìn phòng thủ — từ lỗ hổng tìm được, suy nghĩ về cách fix đúng

Cam kết

Mỗi bài viết sẽ có kết quả thực chiến: code thật, screenshot thật, bài học thật. Không phải lý thuyết suông.

Hành trình bắt đầu từ hôm nay.

Theo dõi blog để không bỏ lỡ các bài viết tiếp theo!