Web Security cho DevOps Engineer
Từ Hạ tầng đến Bảo mật Ứng dụng Web
Tác giả: Huynh Thien Tung
Phiên bản: 1.0
Nguồn tham khảo chính:
- PortSwigger Web Security Academy (portswigger.net/web-security)
- OWASP (owasp.org)
- RFC 7230, RFC 7231, RFC 6265, RFC 6749
- CWE/CVE Database
- Tài liệu chính thức AWS, GCP, Azure, Kubernetes
Lời mở đầu
Bạn đang vận hành hạ tầng Kubernetes, thiết kế pipeline CI/CD, cấu hình Nginx, quản lý secrets trên Vault — nhưng bao giờ bạn tự hỏi: ứng dụng chạy trên hạ tầng đó có thực sự an toàn không?
DevOps và Security không phải hai thế giới tách biệt. Khi bạn cấu hình một Ingress Controller sai, bạn vừa tạo ra một attack surface. Khi bạn để secret trong environment variable của container, bạn vừa mở một cánh cửa. Khi CI/CD pipeline của bạn không kiểm tra dependency, supply chain attack có thể xảy ra bất cứ lúc nào.
Cuốn sách này được viết cho những người như bạn — người đã biết Linux, Docker, Kubernetes, Networking — nhưng chưa có nền tảng chuyên sâu về bảo mật ứng dụng web. Mục tiêu không phải biến bạn thành pentester chuyên nghiệp trong 30 ngày, mà giúp bạn:
- Hiểu cách hacker tư duy và tấn công
- Nhận ra lỗ hổng trước khi hacker tìm ra
- Tích hợp bảo mật vào workflow DevOps hàng ngày
- Có đủ kiến thức để bắt đầu Bug Bounty
Mỗi chương được cấu trúc theo cùng một công thức: Nó là gì → Tại sao xảy ra → Hacker khai thác thế nào → Cách phòng chống → DevOps cần làm gì. Không lý thuyết thừa, không lan man.
Hãy đọc theo thứ tự nếu bạn mới bắt đầu. Nếu bạn đã có kinh nghiệm, có thể nhảy thẳng đến chương mình cần.
Hướng dẫn đọc sách
Cho người mới hoàn toàn: Đọc từ Chương 1 đến Chương 3 trước, sau đó đọc tuần tự.
Cho DevOps đã có kinh nghiệm: Có thể bắt đ��ầu từ Chương 4 và đọc các chương DevOps-specific (29-35) song song.
Để thực hành: Mỗi chương đề cập PortSwigger Labs — hãy làm lab ngay sau khi đọc lý thuyết.
Ký hiệu trong sách:
code block— lệnh, payload, hoặc ví dụ kỹ thuật- In đậm — khái niệm quan trọng
-
Blockquote — lưu ý hoặc cảnh báo quan trọng
Mục lục
Phần I: Nền t�ảng
- Chương 1: Giới thiệu Web Security
- Chương 2: HTTP Fundamentals
- Chương 3: Burp Suite — Công cụ không thể thiếu
Phần II: Xác thực và Phân quyền
- Chương 4: Authentication — Lỗ hổng xác thực
- Chương 5: Session Management — Quản lý phiên
- Chương 6: Access Control — Kiểm soát truy cập
- Chương 7: OAuth 2.0
- Chương 8: JWT — JSON Web Token
Phần III: Tấn công phía Client
- Chương 9: CORS — Cross-Origin Resource Sharing
- Chương 10: CSRF — Cross-Site Request Forgery
- Chương 11: XSS — Cross-Site Scripting
- Chương 22: Clickjacking
Phần IV: Injection Attacks
- Chương 12: SQL Injection
- Chương 13: NoSQL Injection
- Chương 14: Command Injection
- Chương 16: XXE — XML External Entity
- Chương 25: SSTI — Server-Side Template Injection
Phần V: Tấn công phía Server
- Chương 15: SSRF — Server-Side Request Forgery
- Chương 17: File Upload Vulnerabilities
- Chương 18: Path Traversal
- Chương 19: Open Redirect
- Chương 20: Race Condition
- Chương 21: Business Logic Vulnerabilities
- Chương 26: Insecure Deserialization
Phần VI: Tấn công hạ tầng và Giao thức
Phần VII: API và Kiến trúc hiện đại
Phần VIII: DevOps Security
- Chương 29: Kubernetes Security liên quan Web
- Chương 30: CI/CD Security
- Chương 31: Secrets Management
- Chương 32: Cloud Security liên quan ứng dụng Web
- Chương 33: Logging và Detection
- Chương 34: Incident Response cơ bản
- Chương 35: Checklist bảo mật cho DevOps