TOP 10 các lỗ hổng bảo mật của website, phổ biến theo OWASP
Các lỗ hổng bảo mật của website luôn là vấn đề nan giải của các quản trị viên trang web. Những lỗ hổng này là cơ hội để các tin tặc khai thác, tấn công và xâm nhập dữ liệu. Hãy cùng TOS khám phá TOP 10 các lỗ hổng bảo mật của website phổ biến theo tiêu chuẩn OWASP và cách ngăn chặn nguy cơ tấn công hiệu quả.
>>> Xem thêm:
- Thủ thuật & Plugin bảo mật cho website WordPress nhanh chóng
- Quét mã độc website là gì? Công cụ quét mã độc miễn phí cho website hiệu quả
Lỗ hổng bảo mật website là gì?
Vulnerability (lỗ hổng bảo mật) là các điểm yếu trong thiết kế, cấu hình hoặc mã nguồn của website, khiến nó dễ dàng bị tấn công bởi các tác nhân xấu. Các lỗ hổng này có thể dẫn đến việc mất dữ liệu, xâm phạm quyền riêng tư, hoặc làm tổn hại đến uy tín của doanh nghiệp. Một khi mà tội phạm khai thác được lỗ hổng thì có thể ảnh hưởng đến cài đặt phần mềm thậm chí là mất dữ liệu. Ngoài website, thì còn có một số lỗ hổng ở một số nền tảng khác:
- Ứng dụng web, ứng dụng mobile
- Các hệ điều hành và phần mềm
- Các thiết bị IoT
- Mã nguồn, API
- Các giao thức truyền tải và mã hóa
- Hệ thống mạng, thiết bị mạng
TOP 10 các lỗ hổng bảo mật của website theo chuẩn OWASP
OWASP (Open Web Application Security Project) là tổ chức phi lợi nhuận gồm nhiều chuyên gia bảo mật giỏi nhất thế giới cung cấp kiến thức về các ứng dụng và mối nguy hiểm của các cuộc tấn công website. Năm 2013, OWASP đã công bố danh sách 10 lỗ hổng bảo mật website và đưa ra các giải pháp ngăn chặn để giảm thiếu rủi ro về mất dữ liệu.
1. Broken Access Control (Lỗi kiểm soát truy cập)
Năm 2024, Broken Access Control tiếp tục nằm trong danh sách 10 lỗ hổng bảo mật trong OWASP. Lỗi này thường xảy ra khi người dùng được phép thực hiện các hành động nằm ngoài phạm vi của họ, chẳng hạn như truy cập dữ liệu của người dùng khác, sửa đổi hồ sơ. Theo báo cáo điều tra vi phạm dữ liệu năm 2023 của Verizon, 82% vi phạm liên quan đến yếu tố con người, trong đó kiểm soát truy cập là một trong những lĩnh vực khai thác phổ biến.
Cách ngăn chặn:
- Triển khai việc kiểm soát dữ liệu dựa trên vai trò để đảm bảo người dùng chỉ có quyền truy cập và dữ liệu và chức năng họ cần.
- Kiểm tra thường xuyên quyền truy cập của người dùng và loại bỏ những quyền không cần thiết.
- Áp dụng xác thực nhiều yếu tố (MFA) cho các hoạt động quan trọng để tăng thêm một lớp bảo mật.
- Vô hiệu hóa danh sách thư mục trên máy chủ web và đảm bảo rằng các siêu dữ liệu tệp (ví dụ: .git) và các tệp sao lưu không xuất hiện trong thư mục gốc web.
- Hạn chế tốc độ truy cập API và các người kiểm soát để giảm thiểu thiệt hại từ công cụ tấn công tự động.
>>> Xem thêm:
- API Key là gì? 8 Lợi ích không thể bỏ qua của API Key
- Open API là gì? 3 Lợi ích và tiềm năng tương lai
- Web API là gì? Những đặc điểm nổi bật và ứng dụng
2. Cryptographic Failures (Lỗi mã hóa dữ liệu)
Cryptographic Failures (Lỗi mã hóa) là lỗi lỗ hổng bảo mật website xảy ra khi các thông tin quan trọng như mật khẩu, hoặc thông tin cá nhân không được bảo vệ đúng cách. Lỗi này thường do thiếu các biện pháp mã hóa dữ liệu khi lưu trữ hoặc truyền tải. Ví dụ, nếu thông tin nhạy cảm được truyền qua một kết nối HTTP không an toàn, kẻ tấn công có thể chặn dữ liệu trong quá trình truyền.
Trước đây, trong danh sách OWASP TOP 10, lỗ hổng này còn được có tên gọi khác là “Sensitive Data Exposure”, nhưng sau này đã đổi thành “Cryptographic Failures” để nhấn mạnh những vấn đề liên quan đến việc thực thi mã hóa không đúng cách.
Cách ngăn chặn:
- Sử dụng các thuật toán mã hóa mạnh như AES-256 và đảm bảo quản lý khóa phù hợp.
- Tránh sử dụng các phương pháp mã hoá lỗi thời như MD5 hoặc SHA-1 vì chúng dễ bị tấn công.
- Mã hóa tất cả dữ liệu khi truyền tải bằng các giao thức bảo mật như TLS với các mã hóa bảo mật tuyệt đối (forward secrecy), ưu tiên mã hóa từ phía máy chủ và các tham số bảo mật. Thiết lập mã hóa bằng cách sử dụng các chỉ thị như HTTP Strict Transport Security (HSTS).
- Áp dụng các biện pháp kiểm soát bảo mật cần thiết theo phân loại dữ liệu. Không sử dụng các giao thức cũ như FTP và SMTP để truyền tải dữ liệu nhạy cảm.
3. SQL Injection (Lỗi chèn mã độc)
Injection xảy ra khi dữ liệu nhập vào từ người dùng không được kiểm tra và làm sạch đúng cách, cho phép kẻ tấn công chèn mã độc vào hệ thống. Các kiểu tấn công injection phổ biến bao gồm SQL Injection, Xpath Injection, Buffer overflow và XML Injection. Khi khai thác thành công, kẻ tấn công có thể thực hiện các hành động như truy cập trái phép vào cơ sở dữ liệu, đánh cắp thông tin người dùng, hoặc thậm chí điều khiển hoàn toàn hệ thống. Năm 2024, những cuộc tấn công bằng cách chèn mã độc đã được phát triển, khiến chúng khó phát hiện và ngăn chặn hơn.
Cách ngăn chặn lỗ hổng này:
Người dùng có thể áp dụng các biện pháp sau để bảo vệ website khỏi lỗi chèn mã độc:
- Sử dụng câu lệnh chuẩn bị và truy vấn tham số hóa: Xác định mã SQL hợp lệ và chỉ cho phép tham số cụ thể, ngăn mã độc thực thi.
- Áp dụng thủ tục lưu trữ: Tương tự câu lệnh chuẩn bị, nhưng được lưu sẵn để tái sử dụng, ngăn mã độc thao tác trực tiếp trên cơ sở dữ liệu.
- Sử dụng danh sách cho phép (allowlist): Chỉ chấp nhận dữ liệu đầu vào hợp lệ, từ chối ký tự đặc biệt hoặc URL mở rộng có thể khai thác cơ sở dữ liệu.
- Loại bỏ ký tự nguy hiểm: Định dạng lại dữ liệu đầu vào để tránh mã độc.
- Cấp quyền hạn tối thiểu: Chỉ cung cấp quyền truy cập cần thiết dựa trên vai trò, hạn chế quyền admin để giảm thiểu rủi ro khi bị tấn công.
- Sử dụng phương thức API: Dùng thư viện cung cấp hoặc các API để tương tác với cơ sở dữ liệu thay vì tự xây dựng câu lệnh SQL.
>> Xem thêm:
4. Insecure Design (Thiết kế không an toàn)
Insecure Design là kết quả của việc thiếu các biện pháp bảo mật ngay từ giai đoạn thiết kế ứng dụng, thường xảy ra khi đội ngũ phát triển không thực hiện các phân tích rủi ro, không xây dựng kế hoạch bảo mật, hoặc bỏ qua các thử nghiệm bảo mật trong quá trình phát triển. Ví dụ, một ứng dụng có thể không áp dụng mã hóa dữ liệu nhạy cảm hoặc không có cơ chế kiểm tra quyền truy cập đầy đủ. Điều này khiến ứng dụng dễ dàng bị khai thác bởi các kẻ tấn công.
Ví dụ: Một chuỗi rạp chiếu phim áp dụng giảm giá khi đặt chỗ theo nhóm yêu cầu đặt cọc cho các nhóm trên 15 người. Kẻ tấn công sẽ phân tích quy trình này để tìm cách đặt hàng trăm chỗ ngồi tại nhiều rạp khác nhau trong chuỗi, gây thiệt hại hàng trăm triệu doanh thu.
Cách ngăn chặn:
- Thiết lập và sử dụng chu trình phát triển an toàn với các chuyên gia AppSec để giúp đánh giá và thiết kế các kiểm soát liên quan đến bảo mật và quyền riêng tư.
- Thiết lập và sử dụng một thư viện các mẫu thiết kế an toàn hoặc các thành phần đã sẵn sàng sử dụng.
- Tích hợp kiểm tra tính hợp lý ở mỗi tầng của ứng dụng (từ frontend đến backend).
- Phân chia các lớp tầng trên hệ thống và mạng tùy theo mức độ tiếp xúc và nhu cầu bảo vệ.

5. Security Misconfiguration (Lỗi cấu hình sai)
Security Misconfiguration (Lỗi cấu hình sai) xảy ra khi các thiết lập bảo mật của hệ thống không được thực hiện đúng cách. Ví dụ, sử dụng mật khẩu mặc định, không cập nhật các bản sao để bảo mật, hoặc bật các tính năng không cần thiết sẽ tạo cơ hội cho các cuộc tấn công. Một số trường hợp phổ biến bao gồm không vô hiệu hóa các thông báo lỗi chi tiết (stack traces), sử dụng phần mềm không được hỗ trợ, hoặc thiếu chính sách kiểm soát quyền truy cập, chưa cập nhật chứng chỉ SSL định kỳ.
Cách ngăn chặn:
- Một nền tảng tối thiểu không có các tính năng, thành phần, tài liệu, và mẫu không cần thiết. Loại bỏ hoặc không cài đặt các tính năng và framework không sử dụng.
- Gửi các chỉ thị bảo mật đến khách hàng, ví dụ: các Header bảo mật.
- Một quy trình tự động để xác minh hiệu quả của các cấu hình và thiết lập
6. Vulnerable and Outdated Components
Vulnerable and Outdated Components (Các thành phần dễ bị tấn công và lỗi thời) là lỗi bảo mật xảy ra khi trang web sử dụng các thành phần phần mềm dễ bị tấn công, không được hỗ trợ hoặc bị lỗi thời. Các thành phần này bao gồm hệ điều hành, máy chủ, hệ thống quản lý cơ sở dữ liệu (DBMS), ứng dụng, môi trường thực thi (Runtime Environment) và thư viện. Nếu doanh nghiệp không thường xuyên tìm quét lỗ hổng, sửa chữa và nâng cấp nền tảng, website của họ sẽ phải đối mặt với nhiều rủi ro an ninh nghiêm trọng
Cách ngăn chặn:
Nên xây dựng một quy trình quản lý bản vá (Patch Management) để:
- Liên tục theo dõi, kiểm tra phiên bản các thành phần phía máy khách, phía máy chủ và các phụ thuộc của chúng để tìm ra lỗ hổng.
- Chỉ nên lấy các thành phần từ các nguồn chính thức qua liên kết bảo mật.
- Theo dõi các thư viện và thành phần không còn được cập nhật hoặc không phát hành bản vá cho các phiên bản cũ.
Chuyển tiếp và chuyển hướng lỗi bảo mật không được xác thực (Nguồn: TOS)
7. Identification and Authentication Failures
Lỗi Identification and Authentication Failures (Lỗi xác định và xác thực) là một trong những loại lỗ hổng bảo mật thường gặp trong các hệ thống và ứng dụng web. Nó liên quan đến việc xử lý sai cách các yêu cầu xác thực của người dùng, khiến hệ thống dễ bị tấn công. Lỗi này thường xuất hiện khi các biện pháp nhận dạng (identification) và xác thực (authentication) không được thực hiện đúng cách, tạo cơ hội cho các kẻ tấn công lợi dụng.
Cách ngăn chặn:
- Sử dụng mật khẩu mạnh và yêu cầu người dùng thay đổi mật khẩu định kỳ.
- Áp dụng xác thực đa yếu tố (MFA) để tăng cường bảo mật.
- Giới hạn số lần đăng nhập sai và sử dụng phương pháp như CAPTCHAs hoặc khóa tài khoản tạm thời sau nhiều lần đăng nhập sai.
- Mã hóa thông tin xác thực khi truyền qua mạng, sử dụng các giao thức bảo mật như TLS.
- Áp dụng cơ chế quản lý phiên làm việc an toàn như hết hạn phiên sau một khoảng thời gian không hoạt động và yêu cầu người dùng đăng nhập lại.
- Cập nhật và vá lỗi thường xuyên để tránh các lỗ hổng bảo mật trong hệ thống xác thực.
8. Software and Data Integrity Failures
Lỗi Software and Data Integrity Failures (Lỗi về tính toàn vẹn phần mềm và dữ liệu) liên quan đến code và cơ sở hạ tầng không bảo vệ chống lại các vi phạm tính toàn vẹn. Ví dụ tiêu biểu là một ứng dụng dựa vào các plugin, thư viện hoặc module từ các nguồn không đáng tin cậy. Hay một quy trình CI/CD không an toàn có thể dẫn đến việc xâm nhập hệ thống trái phép, phát tán mã độc hại. Bên cạnh đó, các bản cập nhật tự động không được kiểm tra cũng có thể chứa mã độc, làm tăng nguy cơ bị tấn công. Cuối cùng, khi dữ liệu được mã hóa hoặc tuần tự hóa theo cấu trúc mà kẻ tấn công có thể xem và sửa đổi, thì website của bạn sẽ dễ dàng bị tấn công hơn trước những giải tuần tự không an toàn này.
Cách ngăn chặn:
- Đảm bảo rằng các thư viện và thành phần phụ thuộc sử dụng các kho lưu trữ đáng tin cậy.
- Thiết lập quy trình CI/CD có sự phân tách, cấu hình và kiểm soát truy cập hợp lý để đảm bảo tính toàn vẹn của code trong quá trình triển khai.
- Đảm bảo rằng một công cụ bảo mật chuỗi cung ứng phần mềm, chẳng hạn như OWASP Dependency Check hoặc OWASP CycloneDX, được sử dụng để xác minh rằng các thành phần không chứa lỗ hổng đã biết.
- Xây dựng quy trình xem xét cho các thay đổi về code và cấu hình để giảm thiểu khả năng xâm nhập của mã độc hoặc cấu hình xấu.
- Sử dụng chữ ký số hoặc cơ chế tương tự để xác minh phần mềm hoặc dữ liệu đến từ nguồn tin cậy và không bị thay đổi.
9. Security Logging and Monitoring Failures
Security Logging and Monitoring Failures (Lỗi ghi chép và giám sát an ninh) xảy ra khi các vi phạm không thể bị phát hiện do thiếu các biện pháp ghi log. Cụ thể, những sự kiện quan trọng như người dùng đăng nhập, các lần đăng nhập thất bại hoặc các giao dịch lớn không được ghi lại. Bên cạnh đó, khi phát sinh lỗi và cảnh báo, hệ thống không ghi lại các log một cách rõ ràng, đầy đủ. Thêm vào đó, nhật ký từ các ứng dụng và API không được theo dõi để phát hiện hoạt động đáng ngờ. Nếu bản ghi log chỉ được lưu trữ cục bộ và không có sao lưu, thông tin quan trọng có thể bị mất. Không có các ngưỡng cảnh báo phù hợp hoặc quy trình leo thang phản ứng, dẫn đến việc không phát hiện hoặc phản ứng chậm với các tấn công diễn ra theo thời gian thực.
Cách ngăn chặn:
- Đảm bảo tất cả các lỗi đăng nhập, kiểm soát truy cập và xác thực đầu vào phía máy chủ có thể được ghi lại xác định tài khoản đáng ngờ hoặc độc hại
- Đảm bảo rằng các ghi log được tạo ra ở định dạng mà các giải pháp quản lý ghi log có thể dễ dàng sử dụng
- Đảm bảo dữ liệu ghi log được mã hóa đúng cách để ngăn chặn các cuộc tấn công hoặc đưa mã độc vào hệ thống ghi log, giám sát
- Đảm bảo các giao dịch giá trị cao có một dấu vết kiểm toán với các kiểm soát tính toàn vẹn để ngăn chặn việc can thiệp hoặc xóa bỏ
- Các nhóm DevSecOps nên thiết lập giám sát và cảnh báo hiệu quả để phát hiện và phản ứng nhanh chóng với các hoạt động đáng ngờ
- Thiết lập hoặc áp dụng một kế hoạch phản ứng và phục hồi sự cố, chẳng hạn như hướng dẫn của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) 800-61r2 hoặc mới hơn.
10. Server-Side Request Forgery (SSRF)
Các lỗi Server-Side Request Forgery (SSRF) xảy ra khi một ứng dụng web truy xuất tài nguyên từ xa mà không kiểm tra tính hợp lệ của URL do người dùng cung cấp. Việc này tạo điều kiện cho kẻ tấn công buộc ứng dụng gửi một yêu cầu đến địa chỉ đã chọn, ngay cả khi có các biện pháp bảo vệ như tường lửa, VPN hoặc danh sách kiểm soát truy cập mạng (ACL). Trong bối cảnh các ứng dụng web hiện đại mang lại nhiều tính năng thuận tiện cho người dùng, số lượng sự cố SSRF đang ngày càng gia tăng. Hơn nữa, mức độ nghiêm trọng của các lỗi SSRF cũng đang tăng lên do sự phát triển của dịch vụ đám mây và sự phức tạp trong cấu trúc hệ thống.
Cách ngăn chặn:
Từ lớp mạng
- Phân đoạn chức năng truy cập tài nguyên từ xa trong các mạng riêng biệt để giảm tác động của SSRF.
- Áp dụng chính sách tường lửa “deny by default” hoặc các quy tắc kiểm soát truy cập mạng để chặn tất cả lưu lượng truy cập mạng nội bộ không cần thiết.
Gợi ý:
- Thiết lập quyền sở hữu và vòng đời cho các quy tắc tường lửa dựa trên ứng dụng.
- Ghi lại nhật ký tất cả các luồng mạng được chấp nhận và bị chặn trên tường lửa
Từ lớp ứng dụng
- Làm sạch và xác thực tất cả dữ liệu đầu vào do khách hàng cung cấp
- Thực thi cấu trúc URL, cổng và đích bằng danh sách cho phép tích cực
- Không gửi phản hồi thô cho khách hàng
- Vô hiệu hóa chuyển hướng HTTP
- Hãy lưu ý đến tính nhất quán của URL để tránh các cuộc tấn công như DNS rebinding và race condition “time of check, time of use” (TOCTOU)
Không giảm thiểu SSRF bằng cách sử dụng danh sách từ chối hoặc biểu thức chính quy. Kẻ tấn công có danh sách payload, công cụ và kỹ năng để vượt qua.
Các biện pháp bổ sung cần xem xét:
- Không triển khai các dịch vụ liên quan đến bảo mật khác trên các hệ thống chính (ví dụ: OpenID). Kiểm soát lưu lượng cục bộ trên các hệ thống này (ví dụ: localhost).
- Đối với các ứng dụng front-end có nhóm người dùng riêng biệt và có thể quản lý, nên sử dụng biện pháp mã hóa mạng (ví dụ: VPN) trên các hệ thống độc lập để đáp ứng nhu cầu bảo vệ cao.
Thiết kế website tại TOS – Uy tín, chất lượng, độ bảo mật cao
Tại TOS, chúng tôi cam kết mang đến dịch vụ thiết kế website không chỉ đẹp về giao diện mà còn đảm bảo tiêu chuẩn bảo mật cao nhất. Đội ngũ chuyên gia của TOS luôn tuân thủ các hướng dẫn bảo mật mới nhất, đảm bảo rằng mỗi sản phẩm đều được xây dựng với khả năng chống lại các lỗ hổng phổ biến. Hãy để TOS đồng hành cùng bạn trong việc tạo dựng một nền tảng trực tuyến an toàn và hiệu quả cho doanh nghiệp của bạn.
Dịch vụ đẳng cấp – Đáp ứng mọi yêu cầu khắt khe
TOS tự hào là đối tác đáng tin cậy trong việc cung cấp các dịch vụ thiết kế và phát triển website, ứng dụng nội bộ, đáp ứng những yêu cầu kỹ thuật phức tạp nhất. Với kinh nghiệm vững vàng trong việc xử lý các dự án yêu cầu bảo mật cao, tích hợp công nghệ tiên tiến và tối ưu hóa quy trình phát triển, TOS cam kết mang đến các giải pháp vượt xa mong đợi của khách hàng.
- Chuyên gia công nghệ tiên tiến: Áp dụng những công nghệ bảo mật và tối ưu hóa theo tiêu chuẩn cao nhất như WCAG 2.2 AA, OWASP TOP 10, GPRS, đảm bảo sự phù hợp với yêu cầu của khách hàng.
- Giải quyết các vấn đề phức tạp: Phát triển các nền tảng tích hợp đa hệ thống, tương thích với mọi thiết bị và đảm bảo hiệu suất vượt trội.
- Quy trình chuyên nghiệp: Quản lý dự án với các tiêu chuẩn bảo mật cao, phân tích và xử lý dữ liệu phù hợp cho các doanh nghiệp lớn và khách hàng cao cấp.
Giải pháp hiệu quả – Đúng nhu cầu, đúng cách
Tại TOS, chúng tôi không chỉ thiết kế phần mềm hay website mà còn cung cấp các giải pháp tối ưu hóa hiệu suất kinh doanh nhờ vào sự hiểu biết sâu sắc về ngành nghề và xu hướng công nghệ.
- Hiểu rõ yêu cầu khách hàng: Đội ngũ chuyên gia của TOS luôn nỗ lực tìm hiểu kỹ lưỡng để đề xuất giải pháp tùy chỉnh, phù hợp với đặc thù của từng doanh nghiệp.
- Kết hợp công nghệ với chiến lược: Sử dụng các công cụ tiên tiến để không chỉ thiết kế website đẹp mắt mà còn tối ưu hóa trải nghiệm người dùng, hỗ trợ chiến lược kinh doanh dài hạn.
- Tiết kiệm chi phí – Tối ưu hiệu quả: Đưa ra các giải pháp phù hợp với ngân sách của khách hàng nhưng vẫn đảm bảo giá trị vượt trội.
Cam kết thời gian – Đúng tiến độ, đúng kỳ vọng
Chúng tôi hiểu rằng thời gian là yếu tố quan trọng trong mọi dự án, đặc biệt khi khách hàng cần nhanh chóng ra mắt hoặc thay đổi để đáp ứng yêu cầu thị trường. TOS luôn cam kết hoàn thành đúng tiến độ với chất lượng cao nhất.
- Kế hoạch rõ ràng: Các dự án tại TOS luôn được quản lý chi tiết với các mốc thời gian cụ thể, giúp khách hàng dễ dàng theo dõi.
- Triển khai nhanh chóng: Đội ngũ TOS linh hoạt điều chỉnh nguồn lực để đáp ứng yêu cầu về thời gian mà không ảnh hưởng đến chất lượng.
- Minh bạch và tin cậy: Cập nhật tiến độ liên tục, xử lý nhanh chóng các vấn đề phát sinh để đảm bảo mọi thứ diễn ra đúng như cam kết.
Dịch vụ thiết kế website tại TOS uy tín chuyên nghiệp, bảo mật tối ưu (Nguồn: TOS)
Việc nhận diện và khắc phục các lỗ hổng bảo mật của website không chỉ giúp bảo vệ dữ liệu người dùng mà còn đảm bảo uy tín và sự phát triển bền vững cho doanh nghiệp. Trong bối cảnh các mối đe dọa mạng ngày càng gia tăng, đầu tư vào bảo mật website là một bước đi chiến lược, giúp bạn tránh được những tổn thất không đáng có. Hãy lựa chọn dịch vụ thiết kế website uy tín để đảm bảo trang web của bạn luôn được bảo mật tối đa.
Để được tư vấn chi tiết về cách thiết kế website WordPress và quy trình thực hiện một website hoàn chỉnh, quý doanh nghiệp có thể liên hệ qua:
Hotline: 028 7302 2558
Email: long.bui@toponseek.com
Báo giá: Liên hệ
Địa chỉ:
- TOS HCM: Lầu 4 Tòa nhà Nguyên Giáp, 42/37 Hoàng Diệu, Quận 4, TP.HCM.
- TOS Đà Nẵng: Lầu 6 DanaBook, 76-78 Bạch Đằng, Quận Hải Châu, Đà Nẵng.
- TOS Hà Nội: 107 Nguyễn Phong Sắc, Phường Dịch Vọng Hậu, Quận Cầu Giấy, Hà Nội.
Nguồn tham khảo:
- https://owasp.org/
- https://www.blackduck.com/glossary/what-is-owasp-top-10.html
- https://savvycomsoftware.com/blog/owasp-top-10-vulnerabilities/