Cyber

Không validate iss (issuer) hoặc aud (audience) trong ID token

Không sử dụng PKCE cho public clients

Lưu refresh token trong DB

Không check cookie domain

Thử nhiều IPs, header spoofing, và timing variance để bypass simple per-IP rate limit

Kiểm tra only password complexity

Chỉ test một username liên tục

Kiểm tra response size

Authentication token trong query string bị log hoặc cache và dễ bị leak

WebSocket không hỗ trợ binary frames

Không thể dùng CORS trên WebSocket

Các socket luôn encrypted

Là số tiền khách hàng sẵn sàng chi trả cho sản phẩm.

Là các vấn đề kỹ thuật mà sản phẩm cần giải quyết.

Là phản hồi tiêu cực từ khách hàng.

Là những mong muốn, nguyện vọng, suy nghĩ của khách hàng đối với sản phẩm/dịch vụ.

Over-consumption of backend resources và DoS bằng deep nested queries

SQL Injection mặc định

Bypass auth token

Bypass CSP header

Log Forging / Log Injection giúp attacker chèn giả event hoặc confuse monitoring, hoặc dùng để escalate khi logs parsed as config

Tăng tốc độ mạng

Giảm dung lượng disk

Không có rủi ro nếu logs private

Có thể tồn tại CSPT, method confusion hoặc misrouted proxy khiến attacker thực hiện destructive action qua GET

Chỉ là bug cosmetic

Chỉ có tác động nếu site dùng HTTP/2

Là chính sách CORS

Server kiểm tra extension trước khi lưu nhưng không kiểm tra mime type

Server parse file metadata bằng library dễ bị RCE (ví dụ image library có vuln) và xử lý upload trên server

Server đổi tên file upload theo timestamp

File upload bị giới hạn kích thước

Gán permissions trực tiếp cho user thay vì dùng role

Thiết kế roles nhỏ, chuyên trách (least-privilege roles) và dùng role hierarchy / role groups để compose quyền

Cấp quyền broad ‘admin’ cho user rồi logging đầy đủ để kiểm tra sau

Không dùng roles, chỉ dựa vào ACL per-resource

Chỉ tập trung vào việc tạo ra sản phẩm/dịch vụ chất lượng cao.

Đặt khách hàng vào vị trí trọng tâm của mọi hoạt động doanh nghiệp.

Ưu tiên tối đa hóa lợi nhuận của công ty.

Tập trung vào việc giảm thiểu chi phí sản xuất.