15 câu hỏi0s
1
Vì sao SHA-256 không phù hợp để lưu password kể cả khi có salt?
2
OWASP 2024 khuyến nghị thuật toán nào cho password hashing trong dự án mới?
3
Salt và pepper khác nhau cốt lõi ở điểm nào?
4
Cookie chứa session id cần cờ
HttpOnly để chống loại tấn công nào?5
JWT
alg=none attack hoạt động khi nào?6
Khi nào nên dùng RS256 thay vì HS256 cho JWT?
7
PKCE giải quyết vấn đề gì với public clients (SPA, mobile)?
8
Sự khác biệt giữa Access Token và ID Token (OIDC)?
9
Chọn nhiều đáp án
Resource Server PHẢI verify claim nào để chống "confused deputy" attack (token cho API A bị replay sang API B)?
10
Tại sao password + TOTP vẫn không chống được phishing 100%?
11
SMS OTP yếu nhất ở threat nào?
12
WebAuthn/Passkey chống phishing tuyệt đối vì lý do gì?
13
Chọn nhiều đáp án
IDOR (Insecure Direct Object Reference) là gì?
14
ABAC vượt trội RBAC trong tình huống nào?
15
Chọn nhiều đáp án
Pattern nào sau đây là anti-pattern trong authorization?