Thuật ngữ

Argon2

Argon2 Key Derivation Function

The winner of the Password Hashing Competition, designed to be memory-hard and resistant to GPU cracking attacks.

Certificate Pinning

TLS Certificate Pinning

A technique that associates a host with its expected certificate, preventing man-in-the-middle attacks with forged certificates.

Checksum

Checksum (Xác minh tính toàn vẹn dữ liệu)

Một giá trị được tính từ khối dữ liệu bằng thuật toán cụ thể, đóng vai trò như dấu vân tay để xác minh dữ liệu không bị hỏng hoặc thay đổi trong quá trình lưu trữ hoặc truyền tải.

Clickjacking

UI Redress Attack

An attack that tricks users into clicking hidden elements by overlaying invisible frames on top of legitimate page content.

CSRF

Cross-Site Request Forgery

An attack tricking an authenticated user into submitting unintended requests to a web application.

CVE

Common Vulnerabilities and Exposures

A standardized catalog of publicly known security vulnerabilities, each assigned a unique CVE-YYYY-NNNNN identifier.

DDoS

Distributed Denial of Service

An attack that overwhelms a server or network with traffic from many distributed sources, making it unavailable to legitimate users.

Entropy

Password Entropy

A measure of randomness or unpredictability in a password, expressed in bits, indicating resistance to guessing.

PGP

PGP (Pretty Good Privacy)

Hệ thống mã hóa sử dụng kết hợp mật mã đối xứng và bất đối xứng để cung cấp tính bảo mật, xác thực và toàn vẹn cho email, tệp và dữ liệu, dựa trên mô hình mạng lưới tin cậy phi tập trung.

TOTP

Time-based One-Time Password

A temporary passcode generated from a shared secret and the current time, used in two-factor authentication.

RSA

RSA (Rivest-Shamir-Adleman)

Thuật toán mã hóa bất đối xứng được sử dụng rộng rãi, dựa trên độ khó toán học của việc phân tích thừa số các số nguyên tố lớn, cho phép trao đổi khóa an toàn, chữ ký số và truyền thông mã hóa mà không cần chia sẻ khóa bí mật.

SSL/TLS

SSL/TLS (Secure Sockets Layer / Transport Layer Security)

Các giao thức mật mã bảo mật truyền thông qua internet bằng cách mã hóa dữ liệu giữa máy khách (trình duyệt) và máy chủ, xác thực danh tính máy chủ và đảm bảo tính toàn vẹn dữ liệu trong quá trình truyền.

Steganography

Giấu tin (Nhúng dữ liệu ẩn)

Phương pháp giấu tin nhắn hoặc dữ liệu bên trong một tệp trông bình thường (như hình ảnh, bản ghi âm thanh hoặc video) sao cho sự tồn tại của thông tin ẩn không hiển thị với người quan sát thông thường.

Password Hashing

Băm mật khẩu (Lưu trữ thông tin xác thực an toàn)

Quá trình chuyển đổi mật khẩu dạng văn bản thuần thành giá trị băm có độ dài cố định, không thể đảo ngược để lưu trữ, đảm bảo rằng ngay cả khi cơ sở dữ liệu bị xâm phạm, mật khẩu gốc không thể dễ dàng phục hồi.

QR Code

QR Code (Quick Response Code)

Mã vạch hai chiều gồm các module hình vuông đen trắng sắp xếp theo mẫu lưới có thể mã hóa văn bản, URL, thông tin liên hệ hoặc dữ liệu khác, có thể đọc bằng camera điện thoại thông minh và máy quét chuyên dụng.

HMAC

HMAC (Hash-Based Message Authentication Code)

Một cấu trúc cụ thể để tạo mã xác thực tin nhắn sử dụng hàm băm mật mã kết hợp với khóa bí mật, xác minh cả tính toàn vẹn dữ liệu và tính xác thực của tin nhắn.

Key Derivation

Key Derivation Function

A function that derives one or more secret keys from a password or passphrase using a pseudorandom function.

Salt

Cryptographic Salt

Random data added to a password before hashing to ensure identical passwords produce different hashes.

Public Key

Public Key Cryptography

A cryptographic system using paired keys where the public key encrypts and only the private key can decrypt.

XSS

Cross-Site Scripting

An attack injecting malicious scripts into web pages viewed by other users, stealing data or session tokens.

OWASP Top 10

OWASP Top Ten Web Risks

A regularly updated list of the ten most critical web application security risks, published by the Open Web Application Security Project.

SQL Injection

SQL Injection Attack

Inserting malicious SQL code into application queries to access, modify, or delete database data.

Command Injection

OS Command Injection

An attack passing arbitrary operating system commands through a vulnerable application to the host system.

Path Traversal

Directory Traversal Attack

Exploiting insufficient input validation to access files outside the intended directory using ../ sequences.

Penetration Testing

Penetration Testing (Pentest)

Simulating real-world attacks against a system to identify security vulnerabilities before malicious actors do.

Threat Modeling

Security Threat Modeling

A structured process for identifying potential threats, attack vectors, and mitigations during system design.

Defense in Depth

Defense in Depth Strategy

A security approach using multiple layers of protection so that if one layer fails, others still provide defense.

Insecure Deserialization

A vulnerability where untrusted data is deserialized without validation, potentially enabling remote code execution.

XXE

XML External Entity Attack

An attack exploiting XML parsers to access local files, perform SSRF, or cause denial of service via entity expansion.

SRI

Subresource Integrity

An HTML attribute providing a cryptographic hash to verify that fetched resources have not been tampered with.

CORS Misconfiguration

CORS Security Misconfiguration

Overly permissive CORS headers allowing unauthorized origins to read sensitive API responses in the browser.

Sensitive Data Exposure

A vulnerability where applications fail to adequately protect sensitive data like passwords, tokens, or PII in transit or at rest.

HSTS

HTTP Strict Transport Security

An HTTP header instructing browsers to only connect via HTTPS, preventing protocol downgrade attacks.

Zero-Day

Zero-Day Vulnerability

A software vulnerability unknown to the vendor and without a patch, actively exploited before a fix is available.

SSRF

Server-Side Request Forgery

An attack making the server send requests to unintended internal or external resources on behalf of the attacker.

RBAC

Role-Based Access Control

An authorization model that assigns permissions to roles rather than individual users, simplifying access management at scale.

PKI

Public Key Infrastructure

A framework of certificate authorities, digital certificates, and key pairs that enables secure encrypted communication and identity verification.

WAF

Web Application Firewall

A security layer that filters HTTP traffic between a web application and the internet, blocking common attacks like SQL injection and XSS.

Nonce

Number Used Once

A random or sequential value used exactly once in cryptographic operations to prevent replay attacks and ensure message freshness.

E2EE

End-to-End Encryption

A communication system where only the sender and recipient can read messages, with encryption keys never accessible to intermediary servers.

FIDO2

Fast Identity Online 2

An authentication standard enabling passwordless login through hardware security keys or biometrics using public key cryptography.

Sandbox

Security Sandbox

An isolated execution environment that restricts a program's access to system resources, limiting the impact of malicious code.

SHA-256

SHA-256 (Secure Hash Algorithm 256-bit)

Hàm băm mật mã tạo ra bản tóm tắt cố định 256-bit (32-byte) từ bất kỳ đầu vào nào, được sử dụng rộng rãi để xác minh tính toàn vẹn dữ liệu, chữ ký số, blockchain và lưu trữ mật khẩu.

AES

AES (Advanced Encryption Standard)

Thuật toán mã hóa đối xứng được sử dụng rộng rãi nhất, được chính phủ Hoa Kỳ (NIST) chấp nhận làm tiêu chuẩn vào năm 2001. AES mã hóa dữ liệu theo khối 128-bit cố định sử dụng khóa 128, 192 hoặc 256 bit.

2FA

Two-Factor Authentication

A security process requiring two distinct forms of identification — typically a password and a code from a separate device.