Không validate iss (issuer) hoặc aud (audience) trong ID token

Không sử dụng PKCE cho public clients

Lưu refresh token trong DB

Không check cookie domain

Thử nhiều IPs, header spoofing, và timing variance để bypass simple per-IP rate limit

Kiểm tra only password complexity

Chỉ test một username liên tục

Kiểm tra response size

Authentication token trong query string bị log hoặc cache và dễ bị leak

WebSocket không hỗ trợ binary frames

Không thể dùng CORS trên WebSocket

Các socket luôn encrypted

Là số tiền khách hàng sẵn sàng chi trả cho sản phẩm.

Là các vấn đề kỹ thuật mà sản phẩm cần giải quyết.

Là phản hồi tiêu cực từ khách hàng.

Là những mong muốn, nguyện vọng, suy nghĩ của khách hàng đối với sản phẩm/dịch vụ.

Over-consumption of backend resources và DoS bằng deep nested queries

SQL Injection mặc định

Bypass auth token

Bypass CSP header

Log Forging / Log Injection giúp attacker chèn giả event hoặc confuse monitoring, hoặc dùng để escalate khi logs parsed as config

Tăng tốc độ mạng

Giảm dung lượng disk

Không có rủi ro nếu logs private

Có thể tồn tại CSPT, method confusion hoặc misrouted proxy khiến attacker thực hiện destructive action qua GET

Chỉ là bug cosmetic

Chỉ có tác động nếu site dùng HTTP/2

Là chính sách CORS