Domain 8 Quiz: Software Development Security

The principle of "shift-left" security in the SDLC means that security activities are moved earlier in the development lifecycle. Which phase is the CHEAPEST place to fix a security defect?
(Nguyên tắc "shift-left" bảo mật trong SDLC có nghĩa là các hoạt động bảo mật được chuyển về sớm hơn trong vòng đời phát triển. Giai đoạn nào là rẻ nhất để sửa lỗi bảo mật?)

• A. Testing / QA phase
• B. Requirements / Design phase
• C. Deployment phase
• D. Maintenance phase

A FinTech Company X development team is adopting Agile for the Platform C loan platform. The security architect wants to ensure security is not deferred to the end. Which Agile practice BEST integrates security into each sprint?
(Nhóm phát triển FinTech Company X đang áp dụng Agile cho nền tảng Platform C. Thực hành Agile nào tích hợp bảo mật tốt nhất vào mỗi sprint?)

• A. Perform a full penetration test after every release
• B. Include security acceptance criteria and a security story in each sprint backlog
• C. Assign one dedicated security sprint at the end of each quarter
• D. Conduct a design review only at the start of the project

What is a "misuse case" in the context of secure software requirements?
(Trong bối cảnh yêu cầu phần mềm an toàn, "misuse case" là gì?)

• A. A test case that verifies a feature works correctly under normal conditions
• B. A scenario describing how a malicious actor might abuse or attack a system feature
• C. A use case written from the perspective of a non-technical user
• D. A case where the system is used outside its intended geographic region

A FinTech Company X security team is evaluating the difference between Waterfall and Agile from a security perspective. Which statement BEST describes the key security difference?
(Nhóm bảo mật đang đánh giá sự khác biệt giữa Waterfall và Agile từ góc độ bảo mật. Phát biểu nào mô tả tốt nhất sự khác biệt bảo mật chính?)

• A. Waterfall is always more secure because it has a dedicated security phase
• B. Agile allows continuous security integration throughout development whereas Waterfall defers security to a single testing phase
• C. Waterfall prevents scope creep which inherently makes it more secure
• D. Agile is less secure because requirements change too frequently to maintain security controls

During which SDLC phase should a formal security requirements review (SRR) be conducted to validate that security controls are properly specified before coding begins?
(Trong giai đoạn SDLC nào nên tiến hành đánh giá yêu cầu bảo mật chính thức (SRR) để xác nhận rằng các kiểm soát bảo mật được chỉ định đúng trước khi bắt đầu lập trình?)

• A. Maintenance
• B. Testing
• C. Requirements / Design
• D. Deployment

The Platform A team at FinTech Company X is acquiring a third-party loan origination module. What is the MOST important security activity to perform before integrating acquired software?
(Nhóm Platform A đang mua một module khởi tạo khoản vay từ bên thứ ba. Hoạt động bảo mật quan trọng nhất cần thực hiện trước khi tích hợp phần mềm mua sẵn là gì?)

• A. Review the vendor's marketing materials for security claims
• B. Conduct a security assessment including code review, SAST, and contractual security requirements
• C. Deploy the software in production and monitor for 30 days before assessing
• D. Require the vendor to sign an NDA before sharing source code

A FinTech Company X security architect is designing the security activities for Platform C's SDLC. They want to ensure code is reviewed for security defects before it reaches the testing environment. Which artifact or activity is MOST appropriate during the Implementation phase?
(Kiến trúc sư bảo mật đang thiết kế các hoạt động bảo mật cho SDLC của Platform C. Họ muốn đảm bảo code được xem xét bảo mật trước khi đến môi trường kiểm thử. Artifact hoặc hoạt động nào phù hợp nhất trong giai đoạn Triển khai?)

• A. Privacy Impact Assessment (PIA)
• B. Static Application Security Testing (SAST) in the CI/CD pipeline
• C. Penetration testing by an external red team
• D. Business Impact Analysis (BIA)

In a DevSecOps environment at FinTech Company X, the security team wants to ensure that the security of new features is validated in a production-like environment before go-live. Which testing type BEST satisfies this requirement?
(Trong môi trường DevSecOps, nhóm bảo mật muốn đảm bảo bảo mật của các tính năng mới được xác nhận trong môi trường giống production trước khi ra mắt. Loại kiểm thử nào đáp ứng tốt nhất yêu cầu này?)

• A. Unit testing with mocked security dependencies
• B. Dynamic Application Security Testing (DAST) against a staging environment
• C. Code review by the development team lead
• D. Fuzz testing of internal library functions only

A product owner at FinTech Company X pushes back on including security stories in the sprint, arguing they slow down feature velocity. How should a CISSP security engineer respond MOST effectively?
(Chủ sản phẩm phản đối việc đưa các security story vào sprint, lập luận rằng chúng làm chậm tiến độ tính năng. Kỹ sư bảo mật CISSP nên phản hồi hiệu quả nhất như thế nào?)

• A. Agree and defer security to a dedicated security sprint every quarter
• B. Present the business cost of a data breach versus the sprint overhead of security stories, and show that addressing security early reduces total rework
• C. Escalate immediately to the CISO to override the product owner
• D. Remove security from the Definition of Done and track it separately

The Platform C platform team is conducting a security review of its SDLC. They discover that security testing only occurs immediately before production deployment. What risk does this approach PRIMARILY introduce?
(Nhóm nền tảng Platform C đang xem xét bảo mật SDLC của mình. Họ phát hiện rằng kiểm thử bảo mật chỉ xảy ra ngay trước khi triển khai production. Cách tiếp cận này chủ yếu giới thiệu rủi ro gì?)

• A. Security findings cannot be prioritized by severity
• B. Security defects discovered late are expensive to fix and may delay the release or be deferred to become technical debt
• C. The security team will miss vulnerabilities that only appear in development environments
• D. The SDLC will not be compliant with ISO 27001

A security team at FinTech Company X wants to create a formal document that outlines security controls required for all software developed internally. This document will serve as the baseline for code reviews and security testing. What is this document BEST called?
(Nhóm bảo mật muốn tạo tài liệu chính thức phác thảo các kiểm soát bảo mật cần thiết cho tất cả phần mềm phát triển nội bộ. Tài liệu này được gọi tốt nhất là gì?)

• A. Security Operations Runbook
• B. Secure Coding Standard (or Application Security Policy)
• C. Risk Register
• D. System Security Plan (SSP)

The FinTech Company X Platform A team in Vietnam is building a credit scoring service in Java 8. During the design review, the security team finds no input validation defined for the credit score input parameters. Which SDLC artifact should have captured this requirement?
(Nhóm Platform A đang xây dựng dịch vụ tính điểm tín dụng bằng Java 8. Trong quá trình xem xét thiết kế, nhóm bảo mật thấy không có xác thực đầu vào được định nghĩa cho các tham số đầu vào điểm tín dụng. Artifact SDLC nào lẽ ra phải nắm bắt yêu cầu này?)

• A. User story acceptance criteria in the sprint backlog (as a security non-functional requirement)
• B. The production deployment runbook
• C. The post-incident forensics report
• D. The vendor contract SLA

A software vendor provides FinTech Company X with a compiled binary for the Partner E mobile app's biometric module. The source code is not available. Which security activity is MOST appropriate in this situation?
(Nhà cung cấp phần mềm cung cấp cho FinTech Company X một tệp nhị phân đã biên dịch cho module sinh trắc học của ứng dụng di động Partner E. Mã nguồn không có sẵn. Hoạt động bảo mật nào phù hợp nhất trong tình huống này?)

• A. SAST on the compiled binary
• B. Binary/composition analysis, DAST against the running module, and contractual security obligations with the vendor
• C. Trust the vendor and skip security testing since source is unavailable
• D. Require the vendor to conduct internal unit tests and share the results

In the Microsoft Security Development Lifecycle (SDL), which activity is performed IMMEDIATELY before a product is released to production?
(Trong Microsoft Security Development Lifecycle (SDL), hoạt động nào được thực hiện NGAY TRƯỚC khi sản phẩm được phát hành ra production?)

• A. Threat modeling workshop
• B. Final Security Review (FSR)
• C. Security training for developers
• D. Static analysis tool configuration

The FinTech Company X security team wants to create a misuse case for the Platform C loan application process. A normal use case is: "Borrower submits loan application with income documents." What is the BEST corresponding misuse case?
(Nhóm bảo mật muốn tạo misuse case cho quy trình xin vay của Platform C. Use case thông thường là: "Người vay nộp đơn vay kèm tài liệu thu nhập." Misuse case tương ứng tốt nhất là gì?)

• A. "Borrower uploads income documents exceeding the 10MB file size limit"
• B. "Attacker submits forged income documents or injects malicious payloads via document upload to exploit file processing vulnerabilities"
• C. "Borrower mistakenly submits a duplicate application for the same loan"
• D. "System fails to send a confirmation email after loan submission"

Software security requirements can be classified as either functional or non-functional. Which of the following is a NON-FUNCTIONAL security requirement?
(Yêu cầu bảo mật phần mềm có thể được phân loại là chức năng hoặc phi chức năng. Yêu cầu bảo mật PHI CHỨC NĂNG là yêu cầu nào sau đây?)

• A. "The system shall require two-factor authentication for all admin logins"
• B. "The system shall encrypt all data at rest using AES-256"
• C. "All API responses shall be returned within 200ms at p99 under full load while maintaining TLS 1.3"
• D. "The system shall log all failed authentication attempts"

A FinTech Company X development manager wants to understand what "security by design" means when building the eKYC Vendor eKYC platform. Which principle BEST defines security by design?
(Người quản lý phát triển muốn hiểu "security by design" có nghĩa gì khi xây dựng nền tảng eKYC Vendor eKYC. Nguyên tắc nào định nghĩa tốt nhất security by design?)

• A. Security controls are added after development is complete as a final hardening step
• B. Security is architected into the system from the beginning — fail-safe defaults, least privilege, defense in depth — not bolted on afterward
• C. Security is the responsibility of the operations team after deployment
• D. Security means adding a Web Application Firewall (WAF) in front of every application

During the maintenance phase of Platform C's SDLC, a critical security vulnerability is discovered in a Go library used by the platform. What is the CORRECT sequence of actions?
(Trong giai đoạn bảo trì SDLC của Platform C, một lỗ hổng bảo mật nghiêm trọng được phát hiện trong thư viện Go được nền tảng sử dụng. Trình tự hành động ĐÚNG là gì?)

• A. Wait for the next scheduled release cycle to patch the vulnerability
• B. Assess the severity and exploitability, apply the patch in a dev/staging environment, test, then deploy to production through the change management process
• C. Immediately patch production without testing to minimize the exposure window
• D. Document the vulnerability in the risk register and accept the risk indefinitely

The Platform C Go 1.23 application development team adopts pair programming for all new features. From a secure SDLC perspective, what is the PRIMARY security benefit of pair programming?
(Nhóm phát triển ứng dụng Platform C Go 1.23 áp dụng lập trình theo cặp cho tất cả các tính năng mới. Từ góc độ SDLC an toàn, lợi ích bảo mật CHÍNH của lập trình theo cặp là gì?)

• A. It eliminates the need for code reviews since both developers see the code
• B. It provides real-time peer review that can catch insecure code patterns before they are committed
• C. It doubles development speed, leaving more time for security testing
• D. It ensures both developers share liability for any security defects

The FinTech Company X CISO wants to measure the maturity of the organization's secure software development practices. Which framework is specifically designed to assess and improve software security program maturity?
(CISO muốn đo lường mức độ trưởng thành của các thực hành phát triển phần mềm an toàn. Framework nào được thiết kế đặc biệt để đánh giá và cải thiện mức độ trưởng thành của chương trình bảo mật phần mềm?)

• A. NIST Cybersecurity Framework (CSF)
• B. OWASP Software Assurance Maturity Model (SAMM)
• C. ISO 27001 Annex A
• D. CIS Controls v8

A Platform C Go 1.23 developer writes the following database query to look up loan applications:
db.Query("SELECT * FROM loans WHERE borrower_id = " + userInput)
The security team flags this. What is the MANDATORY fix — and why is input sanitization alone NOT sufficient?
(Developer viết câu truy vấn SQL bằng cách nối chuỗi. Nhóm bảo mật gắn cờ. Biện pháp khắc phục BẮT BUỘC là gì — và tại sao chỉ làm sạch đầu vào là KHÔNG đủ?)

• A. Replace string concatenation with input sanitization using a regex allowlist — this is sufficient to prevent SQL injection
• B. Use parameterized queries (prepared statements) with db.Query("SELECT * FROM loans WHERE borrower_id = ?", userInput) — sanitization alone is insufficient because parser and data are still mixed
• C. Add a WAF in front of the database to filter SQL injection payloads
• D. Encode the userInput as Base64 before inserting into the query string

The Platform A Java 8 legacy codebase at FinTech Company X uses string concatenation to build PreparedStatement queries. A security audit finds: String sql = "SELECT * FROM customers WHERE id = " + id; followed by conn.prepareStatement(sql). Is this code safe?
(Codebase Java 8 kế thừa của Platform A sử dụng nối chuỗi để xây dựng câu truy vấn PreparedStatement. Mã này có an toàn không?)

• A. Yes — PreparedStatement inherently prevents SQL injection regardless of how the query is built
• B. No — the SQL injection vulnerability exists in the string concatenation BEFORE prepareStatement() is called; the query is already formed when PreparedStatement receives it
• C. Yes — Java's PreparedStatement sanitizes parameters automatically
• D. No — but the fix is to add input validation before the query is built

The Platform C platform validates loan application inputs. A developer proposes using a blocklist (denylist) to reject known malicious patterns like <script>, DROP TABLE, and ../. The security team says an allowlist (whitelist) is BETTER. Why?
(Nền tảng Platform C xác thực đầu vào đơn vay. Developer đề xuất sử dụng blocklist để từ chối các mẫu độc hại đã biết. Tại sao allowlist lại TỐT HƠN?)

• A. Allowlists are easier to implement than blocklists
• B. Blocklists can never catch all malicious patterns — attackers use encoding, case variations, and novel payloads to bypass; allowlists define exactly what IS valid and reject everything else
• C. Allowlists prevent denial-of-service attacks while blocklists do not
• D. Blocklists require database queries to function while allowlists do not

The Platform C lending platform checks a borrower's available credit limit before processing a loan disbursement using two separate operations: (1) SELECT balance FROM accounts WHERE id=? (check), then (2) UPDATE accounts SET balance = balance - amount WHERE id=? (use). A security researcher demonstrates that two concurrent requests from the same borrower can both pass the credit check and double-disburse. What type of vulnerability is this?
(Nền tảng cho vay Platform C kiểm tra hạn mức tín dụng rồi mới xử lý giải ngân bằng hai thao tác riêng biệt. Nhà nghiên cứu bảo mật chứng minh hai yêu cầu đồng thời có thể đều vượt qua kiểm tra tín dụng và giải ngân kép. Đây là loại lỗ hổng gì?)

• A. SQL Injection
• B. Time-of-Check to Time-of-Use (TOCTOU) race condition
• C. Cross-Site Request Forgery (CSRF)
• D. Integer overflow

Following the TOCTOU credit limit vulnerability discovered in the Platform C platform, the development team needs to fix the race condition in PostgreSQL. Which approach CORRECTLY eliminates the TOCTOU vulnerability?
(Sau lỗ hổng TOCTOU được phát hiện trong Platform C, nhóm phát triển cần sửa race condition trong PostgreSQL. Cách tiếp cận nào ĐÚNG để loại bỏ lỗ hổng TOCTOU?)

• A. Add a 100ms delay between the CHECK and UPDATE operations to reduce collision probability
• B. Use SELECT FOR UPDATE to acquire a row-level lock, making the check and update atomic within a single transaction
• C. Increase the thread pool size to process requests faster
• D. Validate the credit limit at the application layer before sending to the database

A FinTech Company X developer is implementing MPIN verification for the Partner E mobile app. The code reads the stored MPIN hash from a file, compares it with the user input, and then grants access. A security researcher shows this is vulnerable to a TOCTOU attack. Which attack scenario is MOST likely?
(Developer đang triển khai xác minh MPIN cho ứng dụng Partner E. Code đọc hash MPIN từ file, so sánh với đầu vào, rồi cấp quyền truy cập. Kịch bản tấn công TOCTOU nào có khả năng nhất?)

• A. An attacker injects SQL to modify the MPIN hash in the database
• B. An attacker replaces the MPIN hash file between the time it is read (check) and the time access is granted (use), substituting their own hash
• C. An attacker brute-forces the MPIN using the mobile app's API
• D. An attacker intercepts the MPIN over an unencrypted network connection

In the eKYC Vendor eKYC platform, the system checks if a document verification session is still valid before processing the biometric match result. A TOCTOU vulnerability exists if session validation and biometric processing are separate operations. What is the CORRECT architectural fix?
(Trong nền tảng eKYC Vendor eKYC, hệ thống kiểm tra xem phiên xác minh tài liệu còn hợp lệ không trước khi xử lý kết quả khớp sinh trắc học. Sửa lỗi kiến trúc ĐÚNG là gì?)

• A. Increase session timeout to 10 minutes to reduce race window
• B. Use database transactions with SELECT FOR UPDATE to atomically validate the session and update it to "processing" state in a single operation
• C. Cache the session validation result in memory for 5 seconds
• D. Validate the session in the API gateway before forwarding to the biometric service

Which general principle BEST prevents TOCTOU (Time-of-Check to Time-of-Use) vulnerabilities across all contexts — file system, database, and API?
(Nguyên tắc chung nào TỐT NHẤT để ngăn ngừa các lỗ hổng TOCTOU trong mọi bối cảnh — hệ thống file, cơ sở dữ liệu và API?)

• A. Always validate input at the presentation layer before it reaches the business logic
• B. Make the check and use operations atomic — either through database transactions with locking, OS atomic syscalls, or compare-and-swap (CAS) operations
• C. Log all access attempts so race conditions can be detected in SIEM
• D. Rate limit API endpoints to prevent concurrent requests

An Platform C Go 1.23 developer needs to generate a cryptographically random session token. They are choosing between math/rand and crypto/rand. Which should they use and why?
(Developer Go 1.23 cần tạo token phiên ngẫu nhiên về mặt mật mã. Họ đang chọn giữa math/rand và crypto/rand. Nên dùng cái nào và tại sao?)

• A. math/rand — it is faster and sufficient for web application tokens
• B. crypto/rand — it uses the OS CSPRNG (e.g., /dev/urandom) and produces unpredictable values; math/rand is a PRNG whose output is predictable if the seed is known
• C. Either is acceptable as long as the seed is set to a unique value like the current Unix timestamp
• D. math/rand — it is the newer package in Go's standard library

The Platform C Go API returns the following error response when a database query fails:
{"error": "pq: column \"secret_key\" does not exist at character 45", "stack": "main.go:127..."}
What security risk does this response introduce?
(API Platform C Go trả về phản hồi lỗi khi truy vấn cơ sở dữ liệu thất bại bao gồm thông báo lỗi chi tiết và stack trace. Phản hồi này gây ra rủi ro bảo mật nào?)

• A. It causes denial of service by consuming excessive CPU to generate stack traces
• B. It reveals internal database schema details (column names, query structure) and code file locations to potential attackers — information disclosure enabling targeted attacks
• C. It violates data residency requirements under PDPA
• D. It exposes the API to XML injection attacks

A FinTech Company X developer commits the following to a public GitHub repository: const DB_PASSWORD = "Tr0stingS0cial#2024". The code is later removed in the next commit. Is the credential safe now?
(Developer commit mật khẩu database lên repository GitHub công khai. Code sau đó được xóa trong commit tiếp theo. Credential có an toàn không?)

• A. Yes — removing the credential in the next commit deletes it from the repository history
• B. No — git history is permanent; the credential remains visible in the commit history and must be rotated immediately, and the repository history must be rewritten with git filter-branch or BFG Repo Cleaner
• C. Yes — GitHub automatically scans for and redacts secrets in commit history
• D. No — but the fix is to mark the commit as private

The Platform C platform's GitHub Actions CI/CD pipeline needs to authenticate to the production PostgreSQL database. What is the MOST SECURE way to provide database credentials to the pipeline?
(Pipeline CI/CD GitHub Actions của nền tảng Platform C cần xác thực với cơ sở dữ liệu PostgreSQL production. Cách an toàn nhất để cung cấp thông tin xác thực cơ sở dữ liệu cho pipeline là gì?)

• A. Store the credentials in a .env file committed to the repository
• B. Use GitHub Actions Secrets (or a secrets manager like AWS Secrets Manager / HashiCorp Vault) and reference them as environment variables at runtime — never store in code or config files
• C. Base64-encode the credentials and store them in the repository as a "configuration" file
• D. Hardcode the credentials in the Dockerfile as build-time environment variables

A penetration tester submits the following input to the Platform C loan search API: loan_id=1' OR '1'='1. The API returns all loan records in the database. What vulnerability is demonstrated and what is the PRIMARY defense?
(Kiểm tra thâm nhập gửi đầu vào SQL injection đến API tìm kiếm khoản vay Platform C. API trả về tất cả bản ghi. Lỗ hổng nào được chứng minh và biện pháp phòng thủ CHÍNH là gì?)

• A. XSS — implement Content Security Policy headers
• B. SQL Injection — implement parameterized queries as the primary defense, with input validation as defense-in-depth
• C. IDOR — implement authorization checks for each loan record
• D. Path traversal — validate file paths before database queries

The Partner D (Bank) API integration at FinTech Company X uses HMAC-SHA256 for request signing. A developer accidentally uses a static string "secret" as the HMAC key in the development environment and the same key is deployed to production due to a misconfiguration. What is the security impact?
(Tích hợp API Partner D sử dụng HMAC-SHA256 để ký yêu cầu. Developer vô tình sử dụng chuỗi tĩnh "secret" làm khóa HMAC trong môi trường phát triển và khóa tương tự được triển khai sang production do cấu hình sai. Tác động bảo mật là gì?)

• A. The HMAC will stop working and all API requests will fail
• B. An attacker who knows the weak/static key can forge valid HMAC signatures for any request, allowing unauthorized API calls to Partner D
• C. The HMAC key being "secret" causes the algorithm to switch to MD5, which is weaker
• D. Static HMAC keys cause replay attacks regardless of key strength

The Platform C platform accepts JSON loan application requests. A developer proposes that since all inputs go through a JSON parser, no additional input validation is needed. Is this correct?
(Nền tảng Platform C nhận yêu cầu đơn vay dạng JSON. Developer đề xuất vì tất cả đầu vào đều qua bộ phân tích JSON, không cần xác thực đầu vào bổ sung. Điều này có đúng không?)

• A. Yes — JSON parsing ensures all inputs are structurally valid
• B. No — JSON parsing only validates structure and data types, not business logic constraints; semantic validation (range, format, business rules) is still required
• C. Yes — JSON parsers reject all malicious content including SQL injection and XSS payloads
• D. No — but the fix is to add a JSON schema validator only

A security code review of the Platform A Java 8 credit service finds this pattern: catch (Exception e) { System.out.println("Error: " + e); return null; }. What are the TWO security issues with this pattern?
(Đánh giá code bảo mật tìm thấy mẫu bắt exception trả về null và in thông báo lỗi ra console. Hai vấn đề bảo mật với mẫu này là gì?)

• A. It catches too many exceptions, and it returns null which could cause NullPointerException downstream
• B. It logs exception details to console (potentially visible in logs/monitoring) leaking internal information, AND returning null silently fails without proper error propagation — callers cannot distinguish errors from valid empty results
• C. System.out.println is deprecated in Java 8, and returning null violates the Java specification
• D. It only catches Exception instead of Throwable, and it doesn't retry the failed operation

The Partner E mobile app stores the user's MPIN using SHA-256 without a salt. A security reviewer flags this as inadequate. What is the CORRECT approach for storing PINs/passwords?
(Ứng dụng Partner E lưu MPIN của người dùng bằng SHA-256 không có salt. Cách tiếp cận ĐÚNG để lưu trữ PIN/mật khẩu là gì?)

• A. Use SHA-256 with a static salt stored in the application code
• B. Use a purpose-built password hashing function — bcrypt, scrypt, Argon2id — with a unique random salt per user, stored alongside the hash
• C. Encrypt the MPIN using AES-256 with a master key
• D. Use SHA-512 instead of SHA-256 for stronger hashing

A security team is reviewing parameterized query implementations across FinTech Company X's codebase. Which code sample is CORRECTLY parameterized and safe from SQL injection?
(Nhóm bảo mật đang xem xét các triển khai câu truy vấn tham số hóa. Mẫu code nào được tham số hóa ĐÚNG CÁCH và an toàn khỏi SQL injection?)

• A. db.Query("SELECT * FROM loans WHERE id = '" + strings.Replace(id, "'", "''", -1) + "'")
• B. db.Query("SELECT * FROM loans WHERE id = ?", id)
• C. db.Query(fmt.Sprintf("SELECT * FROM loans WHERE id = %d", id))
• D. db.Query("SELECT * FROM loans WHERE id = " + url.QueryEscape(id))

What does the principle of "least privilege" mean in the context of database access for the Platform C Go application?
(Nguyên tắc "đặc quyền tối thiểu" có nghĩa gì trong bối cảnh quyền truy cập cơ sở dữ liệu cho ứng dụng Platform C Go?)

• A. The database should only store the minimum amount of customer data required
• B. The application's database user should only have the specific permissions needed for its function — SELECT, INSERT, UPDATE on specific tables — not DROP TABLE or CREATE DATABASE permissions
• C. The database connection pool should limit concurrent connections to the minimum required
• D. Only the minimum number of developers should have access to the production database

The eKYC Vendor eKYC platform serializes customer identity verification data as Java objects and stores them in a Redis cache. A security reviewer flags Java deserialization as a high-risk operation. What is the PRIMARY security risk?
(Nền tảng eKYC Vendor eKYC serialize dữ liệu xác minh danh tính khách hàng thành đối tượng Java và lưu trong cache Redis. Rủi ro bảo mật CHÍNH là gì?)

• A. Redis has no built-in encryption, so the data is stored in plaintext
• B. Deserialization of untrusted data can lead to Remote Code Execution (RCE) if an attacker can manipulate the serialized object — Java deserialization vulnerabilities (like Log4Shell's predecessor) allow gadget chain attacks
• C. Java object serialization produces large payloads that cause Redis memory exhaustion
• D. Serialized Java objects cannot be read by non-Java services

The Platform C platform's GitHub Actions pipeline includes a SAST step using gosec that is configured to produce warnings but NOT block the build on findings. A security architect reviews this and says "advisory-only SAST defeats the purpose." Why?
(Pipeline GitHub Actions của Platform C bao gồm bước SAST sử dụng gosec được cấu hình để tạo cảnh báo nhưng KHÔNG chặn build khi có phát hiện. Tại sao "SAST chỉ tư vấn" đánh bại mục đích?)

• A. gosec is too slow to run in CI/CD pipelines
• B. When SAST findings are advisory-only, developers learn to ignore them under sprint pressure — the finding never gets remediated and the security gate provides false assurance that the pipeline is "secure"
• C. Advisory-only SAST increases false positives compared to blocking SAST
• D. GitHub Actions does not support advisory-only security gates

The FinTech Company X DevSecOps team configures their Platform C Go CI/CD pipeline with two security tools: gosec (SAST) and govulncheck (dependency vulnerability scanner). A HIGH severity finding in gosec should trigger what pipeline action?
(Nhóm DevSecOps cấu hình pipeline CI/CD Platform C Go với gosec và govulncheck. Phát hiện mức độ CAO trong gosec nên kích hoạt hành động pipeline nào?)

• A. Send a Slack notification to the security channel and continue the build
• B. Block the build — the pipeline should fail with a non-zero exit code, preventing merge or deployment until the finding is remediated or a security exception is formally approved
• C. Log the finding to the SIEM and continue deployment to staging only
• D. Automatically create a Jira ticket and allow the build to continue

A security engineer wants to detect if any FinTech Company X developer has accidentally committed API keys or database credentials to any branch — including historical commits. Which tool is specifically designed for this purpose?
(Kỹ sư bảo mật muốn phát hiện nếu bất kỳ developer nào vô tình commit API key hoặc thông tin xác thực vào bất kỳ nhánh nào — bao gồm cả các commit lịch sử. Công cụ nào được thiết kế đặc biệt cho mục đích này?)

• A. gosec — it scans Go source code for security vulnerabilities
• B. TruffleHog — it scans git history (all commits, all branches) for secrets using entropy analysis and pattern matching
• C. OWASP ZAP — it performs dynamic application security testing
• D. Snyk — it scans dependencies for known CVEs

The Platform C platform's Kubernetes deployment pulls Docker images using tags (e.g., aula-backend:latest). A security engineer recommends switching to image digest pinning (e.g., aula-backend@sha256:abc123...). What supply chain security risk does tag pinning fail to address?
(Triển khai Kubernetes của Platform C kéo Docker image bằng tags. Kỹ sư bảo mật đề nghị chuyển sang ghim digest image. Rủi ro bảo mật chuỗi cung ứng nào mà tag pinning không giải quyết được?)

• A. Image tags cause slower container startup times
• B. Tags are mutable — an attacker with registry write access can overwrite the "latest" tag to point to a malicious image, while a digest is an immutable cryptographic hash of the exact image content
• C. Image tags cannot be used in Kubernetes production namespaces due to policy enforcement
• D. Tags prevent Kubernetes from scaling deployments correctly

The Platform C Kubernetes deployment uses Infrastructure-as-Code (Helm charts). A DevSecOps engineer wants to scan for misconfigurations like containers running as root, missing resource limits, and privileged pods before deployment. Which tool category addresses this?
(Triển khai Kubernetes của Platform C sử dụng Infrastructure-as-Code. Kỹ sư DevSecOps muốn quét các cấu hình sai trước khi triển khai. Danh mục công cụ nào giải quyết vấn đề này?)

• A. DAST tools like OWASP ZAP
• B. IaC security scanners like Checkov, Trivy (config mode), or kube-bench — these analyze Kubernetes manifests and Helm charts for security misconfigurations before deployment
• C. Dependency vulnerability scanners like govulncheck
• D. Network intrusion detection systems (IDS)

The FinTech Company X security team is debating whether to make the govulncheck dependency scanner blocking or advisory-only in the GitHub Actions pipeline. A known CVE with CVSS 9.1 (Critical) is found in a transitive Go dependency used by Platform C. Which approach is CORRECT?
(Nhóm bảo mật đang tranh luận về việc làm cho govulncheck chặn hay chỉ tư vấn. Một CVE đã biết với CVSS 9.1 (Nghiêm trọng) được tìm thấy trong dependency Go bắc cầu. Cách tiếp cận nào ĐÚNG?)

• A. Advisory-only is sufficient because transitive dependencies are outside the team's control
• B. Block the build — Critical CVEs in transitive dependencies must be resolved (upgrade, replace, or formally accepted with documented mitigating controls) before deployment
• C. Allow the build but require a comment in the pull request acknowledging the vulnerability
• D. Only block if the vulnerable function is called directly in the Platform C codebase

A security engineer is designing the GitHub Actions pipeline security for FinTech Company X's Platform C platform. What is the BEST practice for handling third-party GitHub Actions (e.g., uses: some-vendor/action@v2) in the pipeline?
(Kỹ sư bảo mật đang thiết kế bảo mật pipeline GitHub Actions. Thực hành TỐT NHẤT để xử lý các GitHub Action của bên thứ ba là gì?)

• A. Use third-party Actions freely — GitHub reviews all marketplace Actions for security
• B. Pin third-party Actions to a specific commit SHA (e.g., uses: some-vendor/action@abc123sha) to prevent supply chain attacks via tag mutation
• C. Use only the latest tag (e.g., @latest) to get the most up-to-date and secure version
• D. Disable all third-party Actions and use only GitHub's official Actions

The Platform C CI/CD pipeline at FinTech Company X must satisfy the principle of "security as code." Which statement BEST describes this DevSecOps principle?
(Pipeline CI/CD Platform C phải thỏa mãn nguyên tắc "security as code." Phát biểu nào mô tả tốt nhất nguyên tắc DevSecOps này?)

• A. Security policies are written in PDF documents and reviewed annually
• B. Security controls, policies, and configurations are defined in version-controlled code (YAML, Terraform, OPA policies) that can be reviewed, tested, and automatically enforced — making security auditable and repeatable
• C. Security teams write code instead of developers to ensure security is correct
• D. All code is automatically secure if it passes the CI/CD pipeline

FinTech Company X's GitHub Actions pipeline for the Platform A Java 8 service runs SAST but the security lead says "SAST with advisory-only mode is no better than having no SAST at all for Critical findings." When is this statement TRUE?
(Pipeline GitHub Actions cho dịch vụ Platform A Java 8 chạy SAST nhưng trưởng bảo mật nói "SAST chỉ tư vấn không tốt hơn không có SAST nào cả đối với các phát hiện Nghiêm trọng." Khi nào nhận định này ĐÚNG?)

• A. When SAST generates more than 100 findings per scan
• B. When the advisory findings are never acted upon — developers ship the code with known Critical vulnerabilities because the pipeline allows it
• C. When SAST is run less than once per week
• D. When the SAST tool is not certified by an official standards body

The FinTech Company X DevSecOps team wants to implement a "shift-left" approach to container security for the Platform C Kubernetes platform. Which practice BEST represents shifting container security left?
(Nhóm DevSecOps muốn triển khai cách tiếp cận "shift-left" cho bảo mật container. Thực hành nào đại diện tốt nhất cho việc chuyển bảo mật container sang trái?)

• A. Scanning container images for vulnerabilities after they are deployed to production
• B. Scanning container images during the build phase (before push to registry) and blocking promotion of images with Critical/High CVEs
• C. Using a runtime security tool like Falco to detect anomalous container behavior in production
• D. Reviewing container configurations during the quarterly security audit

In the Platform C Go CI/CD pipeline, a developer bypasses the SAST gate by suppressing all gosec findings with //nolint:gosec comments throughout the code. What governance control should prevent this from becoming a systemic problem?
(Trong pipeline CI/CD Platform C Go, developer bỏ qua SAST gate bằng cách suppress tất cả các phát hiện gosec với các comment. Kiểm soát quản trị nào nên ngăn chặn điều này trở thành vấn đề hệ thống?)

• A. Use a linter that rejects any use of //nolint comments
• B. Require that any suppression comment include a documented justification and be approved via code review by the security team — and track suppressed findings in the security backlog
• C. Disable suppression comments entirely in the Go codebase
• D. Switch to a SAST tool that cannot be suppressed by comments

The FinTech Company X security team is implementing a "security quality gate" for the Platform C platform. What is the CORRECT definition of a security quality gate in CI/CD?
(Nhóm bảo mật đang triển khai "security quality gate" cho nền tảng Platform C. Định nghĩa ĐÚNG về security quality gate trong CI/CD là gì?)

• A. A manual review step where the security team approves all pull requests
• B. An automated checkpoint in the pipeline that enforces predefined security criteria — if criteria are not met, the pipeline fails and the artifact cannot proceed to the next stage
• C. A dashboard that shows the current security posture of the deployed application
• D. A set of security requirements documented in the project wiki

The Platform C Go pipeline runs both SAST (gosec) and SCA (govulncheck). A new developer asks: "Why do we need both? Can't one tool do everything?" What is the BEST explanation of why both are needed?
(Pipeline Platform C Go chạy cả SAST và SCA. Tại sao cần cả hai? Một công cụ không thể làm tất cả sao?)

• A. They are redundant — one tool is sufficient for all security testing needs
• B. SAST (gosec) analyzes your own written code for security bugs; SCA (govulncheck) analyzes third-party dependencies for known CVEs — they find completely different classes of vulnerabilities and neither can replace the other
• C. SAST scans are faster so they run first, then SCA runs only on failing builds
• D. SAST covers production code while SCA covers test code

The FinTech Company X DevSecOps team wants to prevent insecure code from being merged into the main branch of the Platform C repository. Which GitHub feature, combined with mandatory status checks, BEST enforces this?
(Nhóm DevSecOps muốn ngăn code không an toàn được merge vào nhánh chính của Platform C. Tính năng GitHub nào, kết hợp với các kiểm tra trạng thái bắt buộc, thực thi điều này TỐT NHẤT?)

• A. GitHub Issues with security labels
• B. Branch protection rules with required status checks — security scan jobs (SAST, SCA) must pass before a pull request can be merged; no overrides for code owners
• C. GitHub Advanced Security secret scanning alerts
• D. GitHub Actions workflow notifications via Slack

The Platform C Go service needs to access the PostgreSQL database credentials at runtime in a Kubernetes cluster. What is the MOST SECURE approach?
(Dịch vụ Platform C Go cần truy cập thông tin xác thực cơ sở dữ liệu PostgreSQL khi chạy trong Kubernetes cluster. Cách tiếp cận AN TOÀN NHẤT là gì?)

• A. Store credentials in a Kubernetes ConfigMap and mount as environment variables
• B. Use Kubernetes Secrets encrypted at rest (or external secrets manager like Vault), with RBAC limiting which pods can access the secret, and rotate credentials regularly
• C. Embed credentials in the container image as environment variables during build
• D. Pass credentials as command-line arguments to the container at startup

The FinTech Company X DevSecOps team discovers that the Platform C CI/CD pipeline can be triggered by any developer in the organization, including those without access to the production environment. Why is this a security risk?
(Nhóm DevSecOps phát hiện pipeline CI/CD Platform C có thể được kích hoạt bởi bất kỳ developer nào trong tổ chức, kể cả những người không có quyền truy cập vào môi trường production. Tại sao đây là rủi ro bảo mật?)

• A. It slows down the pipeline by having too many concurrent builds
• B. The pipeline may have access to production secrets and deployment permissions — a developer without production access could trigger the pipeline to deploy malicious code or exfiltrate secrets embedded in the pipeline environment
• C. It violates the principle of need-to-know for build logs
• D. Pipeline triggers consume GitHub Actions minutes which increases costs

The FinTech Company X CISO proposes a "security champion" model in each development team for the Platform C and Platform A platforms. What is the PRIMARY purpose of security champions in DevSecOps?
(CISO đề xuất mô hình "security champion" trong mỗi nhóm phát triển. Mục đích CHÍNH của security champion trong DevSecOps là gì?)

• A. Security champions replace the dedicated security team, reducing headcount
• B. Security champions are developers with security training who act as security advocates within their team — enabling security knowledge to scale without requiring a security expert in every code review
• C. Security champions are responsible for conducting all penetration tests for their team's code
• D. Security champions approve all production deployments from a security perspective

The Platform C GitHub Actions pipeline has an advisory-only gosec step, and a team lead argues that "we can't block builds on SAST findings because it would slow development." The security architect responds. Which response is MOST appropriate?
(Pipeline GitHub Actions Platform C có bước gosec chỉ tư vấn, và trưởng nhóm lập luận rằng không thể chặn build vì sẽ làm chậm phát triển. Phản hồi nào là phù hợp nhất?)

• A. "You're right — advisory mode is sufficient because developers will review findings anyway"
• B. "Blocking on Critical/High findings is non-negotiable. We accept false positives via documented suppressions. The 'velocity' concern actually means shipping known vulnerabilities faster — we need to explain the true cost of that trade-off to leadership"
• C. "We'll run SAST only on release branches, not feature branches, to minimize blocking"
• D. "We'll move SAST to monthly runs to avoid impacting sprint velocity"

A FinTech Company X engineer wants to prevent developers from pushing directly to the main branch of the Platform C repository (bypassing code review and security gates). Which control is MOST effective?
(Kỹ sư muốn ngăn developers push trực tiếp vào nhánh chính của repository Platform C. Kiểm soát nào HIỆU QUẢ NHẤT?)

• A. Send a weekly email reminder to developers about the no-direct-push policy
• B. Enable branch protection on the main branch requiring pull requests with at least one approval and all required status checks passing — no direct push even for repository administrators
• C. Trust developers to follow the contribution guidelines in the CONTRIBUTING.md file
• D. Audit git push logs monthly to identify policy violations

In the context of DevSecOps for the Platform C platform, what does "DAST in CI/CD" mean, and when should it ideally run compared to SAST?
(Trong bối cảnh DevSecOps cho nền tảng Platform C, "DAST trong CI/CD" có nghĩa gì và nên chạy khi nào so với SAST?)

• A. DAST replaces SAST in the pipeline — only one is needed
• B. DAST tests the running application by sending malicious inputs; it runs AFTER the application is deployed to a staging/test environment (later in the pipeline than SAST which runs at build time)
• C. DAST analyzes source code without running it — it runs at compile time
• D. DAST is only used for mobile applications, not web APIs like Platform C

An attacker intercepts the JWT authentication token of a legitimate FinTech Company X customer and uses it to call the Platform C loan API as that customer. Which STRIDE category does this threat belong to?
(Kẻ tấn công chặn token xác thực JWT của khách hàng hợp lệ và sử dụng nó để gọi API khoản vay Platform C với tư cách khách hàng đó. Danh mục STRIDE nào mà mối đe dọa này thuộc về?)

• A. Tampering
• B. Spoofing
• C. Repudiation
• D. Elevation of Privilege

A malicious insider at FinTech Company X modifies the credit score calculation logic in the Platform C database, changing a customer's credit score from 450 to 750 to qualify them for a loan they would normally be rejected for. Which STRIDE category is this?
(Người trong công ty độc hại sửa đổi logic tính điểm tín dụng trong cơ sở dữ liệu Platform C, thay đổi điểm tín dụng từ 450 lên 750. Danh mục STRIDE nào?)

• A. Spoofing
• B. Tampering
• C. Information Disclosure
• D. Denial of Service

A FinTech Company X loan officer processes a large fraudulent disbursement and then claims they never approved the transaction. Audit logs are available but the officer claims they were forged. Which STRIDE category does the threat of non-repudiation failure represent?
(Nhân viên tín dụng xử lý khoản giải ngân gian lận lớn rồi tuyên bố họ chưa bao giờ phê duyệt giao dịch. Danh mục STRIDE nào đại diện cho mối đe dọa không thể phủ nhận?)

• A. Spoofing
• B. Information Disclosure
• C. Repudiation
• D. Elevation of Privilege

An attacker exploits a vulnerability in the eKYC Vendor eKYC API to read all customer identity document images stored in the system — including passport photos and national ID scans. Which STRIDE category is this?
(Kẻ tấn công khai thác lỗ hổng trong API eKYC Vendor eKYC để đọc tất cả hình ảnh tài liệu danh tính của khách hàng — bao gồm ảnh hộ chiếu và CMND. Danh mục STRIDE nào?)

• A. Spoofing
• B. Tampering
• C. Repudiation
• D. Information Disclosure

An attacker floods the Platform C loan application API with thousands of requests per second, making it unavailable to legitimate customers during the peak application period at month-end. Which STRIDE category applies?
(Kẻ tấn công tràn ngập API đơn vay Platform C với hàng nghìn yêu cầu mỗi giây, khiến nó không khả dụng cho khách hàng hợp lệ vào cuối tháng. Danh mục STRIDE nào áp dụng?)

• A. Information Disclosure
• B. Elevation of Privilege
• C. Denial of Service
• D. Repudiation

A customer of the Platform C platform discovers that by changing a URL parameter from /api/users/me/profile to /api/users/admin/profile, they can read another user's data and access administrative functions normally restricted to loan officers. Which STRIDE category BEST describes the "access administrative functions" part of this attack?
(Khách hàng của Platform C phát hiện bằng cách thay đổi tham số URL, họ có thể đọc dữ liệu người dùng khác và truy cập các chức năng quản trị thường bị hạn chế với nhân viên cho vay. Danh mục STRIDE nào mô tả tốt nhất phần "truy cập chức năng quản trị"?)

• A. Spoofing
• B. Information Disclosure
• C. Elevation of Privilege
• D. Tampering

During a threat modeling session for the eKYC Vendor eKYC platform, the team uses STRIDE to analyze the Partner D HMAC API integration. An attacker intercepts and modifies the HMAC-signed API request in transit, changing the loan disbursement amount from 1,000,000 IDR to 100,000,000 IDR. Which STRIDE category applies?
(Trong buổi mô hình hóa mối đe dọa, kẻ tấn công chặn và sửa đổi yêu cầu API được ký HMAC trong quá trình truyền, thay đổi số tiền giải ngân. Danh mục STRIDE nào áp dụng?)

• A. Spoofing
• B. Tampering
• C. Repudiation
• D. Information Disclosure

The eKYC Vendor eKYC team is conducting a STRIDE threat model for their document upload API. They identify that an attacker could upload a malicious PDF that exploits a vulnerability in the PDF parsing library to execute code on the server. Which STRIDE category BEST describes this threat?
(Nhóm eKYC Vendor eKYC đang thực hiện mô hình mối đe dọa STRIDE cho API tải lên tài liệu. Họ xác định rằng kẻ tấn công có thể tải lên PDF độc hại khai thác lỗ hổng trong thư viện phân tích PDF để thực thi code trên máy chủ. Danh mục STRIDE nào mô tả tốt nhất mối đe dọa này?)

• A. Tampering
• B. Elevation of Privilege
• C. Information Disclosure
• D. Denial of Service

STRIDE is a developer-centric threat modeling methodology, while PASTA (Process for Attack Simulation and Threat Analysis) is attacker-centric. When should FinTech Company X use PASTA over STRIDE for threat modeling?
(STRIDE là phương pháp mô hình hóa mối đe dọa tập trung vào developer, trong khi PASTA tập trung vào kẻ tấn công. Khi nào FinTech Company X nên sử dụng PASTA thay vì STRIDE?)

• A. PASTA should always replace STRIDE — it is more comprehensive in all situations
• B. Use PASTA when you need a risk-centric, attacker-motivated analysis aligned to business impact — such as for high-value systems like eKYC Vendor eKYC or Platform C core lending where understanding attacker objectives and business risk quantification is critical
• C. Use PASTA only for mobile applications, not web APIs
• D. Use PASTA when the development team has less than 50 people

FinTech Company X's security team is conducting a PASTA threat model for the Platform C loan platform. In Stage 2 (Define Technical Scope), they identify all technical assets including APIs, databases, and microservices. In Stage 7 (Risk and Impact Analysis), what is the PRIMARY output?
(Nhóm bảo mật đang thực hiện mô hình mối đe dọa PASTA cho nền tảng Platform C. Trong Giai đoạn 7 (Phân tích Rủi ro và Tác động), đầu ra CHÍNH là gì?)

• A. A list of all technical vulnerabilities found by SAST tools
• B. A risk-prioritized list of attack scenarios mapped to business impact — enabling security investment decisions based on which attacks would cause the most organizational harm
• C. A complete inventory of all software components used in Platform C
• D. A penetration test report documenting confirmed vulnerabilities

When should threat modeling ideally be conducted in the SDLC of the Platform C platform?
(Khi nào nên thực hiện mô hình hóa mối đe dọa trong SDLC của nền tảng Platform C?)

• A. After the application is deployed to production and real attacks are observed
• B. During the design phase — before significant code is written — and updated iteratively with major feature changes
• C. During the testing phase, concurrent with penetration testing
• D. Only once at the beginning of the project, then not revisited

The Platform C platform integrates with BFI Finance's API for co-lending decisions. During STRIDE threat modeling of this integration, the team identifies that BFI Finance's API server could be compromised and return falsified loan approval decisions. Which STRIDE category describes this threat?
(Nền tảng Platform C tích hợp với API của BFI Finance để quyết định cho vay liên kết. Trong mô hình mối đe dọa STRIDE, nhóm xác định rằng máy chủ API của BFI Finance có thể bị xâm phạm và trả về các quyết định phê duyệt khoản vay giả mạo. Danh mục STRIDE nào?)

• A. Spoofing — BFI Finance's server is impersonating a legitimate API
• B. Tampering — the response data is falsified
• C. Repudiation — BFI Finance can deny sending the response
• D. Elevation of Privilege — BFI gains access to Platform C's database

The FinTech Company X security team uses an attack tree to model how an attacker could fraudulently obtain a loan through the Platform C platform. The root node is "Obtain fraudulent loan disbursement." Which set of child nodes correctly represents the FIRST level of attack branches?
(Nhóm bảo mật sử dụng cây tấn công để mô hình hóa cách kẻ tấn công có thể gian lận để được vay tiền. Nút gốc là "Nhận khoản giải ngân gian lận." Tập hợp nút con nào đại diện đúng cho cấp độ ĐẦUTIÊN của các nhánh tấn công?)

• A. "Use SQL injection" AND "Use XSS" AND "Conduct phishing"
• B. "Compromise identity verification (eKYC bypass)" OR "Compromise credit decisioning (score manipulation)" OR "Compromise disbursement process (account takeover)"
• C. "Exploit CVE-2021-44228" AND "Use stolen credentials"
• D. "Attack the database" AND "Attack the API" AND "Attack the mobile app"

A STRIDE threat model of the Platform C platform's loan officer dashboard identifies the following threat: "A loan officer's browser sends a forged request to approve a loan on their behalf, triggered by a malicious link in a phishing email." Which STRIDE categories does this threat span? (Choose the BEST answer)
(Mô hình mối đe dọa STRIDE của bảng điều khiển nhân viên cho vay xác định: "Trình duyệt của nhân viên gửi yêu cầu giả mạo để phê duyệt khoản vay thay mặt họ, được kích hoạt bởi liên kết độc hại trong email lừa đảo." Các danh mục STRIDE nào?)

• A. Only Tampering — the loan approval is being modified
• B. Spoofing (the forged request pretends to be the loan officer) AND Tampering (an unauthorized loan approval is being submitted)
• C. Only Information Disclosure — the loan data is being accessed
• D. Elevation of Privilege — the attacker gains loan officer permissions

During STRIDE threat modeling for the Partner D HMAC API integration at FinTech Company X, the team identifies: "An attacker captures a valid HMAC-signed API request and replays it hours later to trigger a duplicate disbursement." Which STRIDE category applies and what is the correct control?
(Trong mô hình mối đe dọa STRIDE cho tích hợp API Partner D HMAC, nhóm xác định: "Kẻ tấn công ghi lại yêu cầu API được ký HMAC hợp lệ và phát lại sau nhiều giờ để kích hoạt khoản giải ngân trùng lặp." Danh mục STRIDE nào và kiểm soát đúng là gì?)

• A. Tampering — fix by validating HMAC signature
• B. Spoofing — fix by using mutual TLS in addition to HMAC
• C. Tampering — fix by adding a timestamp and nonce to the HMAC signature and rejecting requests older than 5 minutes or with a repeated nonce
• D. Repudiation — fix by logging all API calls to an immutable audit log

The FinTech Company X security team is applying STRIDE to the Platform C platform's message queue (Kafka) that carries loan application events. A threat is identified: "An unauthorized service subscribes to the loan application topic and reads all customer application data in real-time." Which STRIDE category applies?
(Nhóm bảo mật đang áp dụng STRIDE cho hàng đợi tin nhắn (Kafka) của Platform C. Một mối đe dọa được xác định: "Một dịch vụ trái phép đăng ký vào topic đơn vay và đọc tất cả dữ liệu đơn vay của khách hàng theo thời gian thực." Danh mục STRIDE nào?)

• A. Tampering
• B. Information Disclosure
• C. Denial of Service
• D. Elevation of Privilege

PASTA Stage 3 involves "Application Decomposition" — creating Data Flow Diagrams (DFDs). What is the PRIMARY security purpose of creating DFDs in PASTA (and STRIDE)?
(Giai đoạn 3 PASTA liên quan đến "Phân tách ứng dụng" — tạo Sơ đồ luồng dữ liệu (DFD). Mục đích bảo mật CHÍNH của việc tạo DFD trong PASTA (và STRIDE) là gì?)

• A. To document the application architecture for the operations team
• B. To identify trust boundaries, data flows between components, and entry/exit points where threats can be introduced — making attack surfaces visible for systematic threat identification
• C. To create a network diagram for the firewall rule review
• D. To estimate development effort for the engineering team

Which of the following is the CORRECT mapping of STRIDE categories to their primary security property being violated?
(Ánh xạ ĐÚNG của các danh mục STRIDE với thuộc tính bảo mật chính bị vi phạm là gì?)

• A. Spoofing → Integrity; Tampering → Confidentiality; Repudiation → Availability
• B. Spoofing → Authentication; Tampering → Integrity; Repudiation → Non-repudiation; Information Disclosure → Confidentiality; Denial of Service → Availability; Elevation of Privilege → Authorization
• C. Spoofing → Confidentiality; Tampering → Availability; Information Disclosure → Integrity
• D. All STRIDE categories violate the CIA triad equally

The FinTech Company X security team completes a STRIDE threat model for the Partner E app's MPIN biometric authentication flow and identifies 47 threats. How should these threats be PRIORITIZED for remediation?
(Nhóm bảo mật hoàn thành mô hình mối đe dọa STRIDE cho luồng xác thực sinh trắc học MPIN của ứng dụng Partner E và xác định 47 mối đe dọa. Làm thế nào để ƯU TIÊN các mối đe dọa này để khắc phục?)

• A. Fix threats alphabetically by STRIDE category
• B. Prioritize by risk = Likelihood × Impact, using a risk scoring framework (DREAD, CVSS, or custom risk matrix) — focus first on High Impact + High Likelihood threats
• C. Fix all Spoofing threats before any other category
• D. Prioritize by implementation complexity — fix easiest threats first regardless of risk

The FinTech Company X CISO asks the security team: "What is the difference between a vulnerability and a threat in the context of our Platform C threat model?" What is the MOST ACCURATE answer?
(CISO hỏi: "Sự khác biệt giữa lỗ hổng và mối đe dọa trong bối cảnh mô hình mối đe dọa Platform C là gì?" Câu trả lời chính xác nhất là gì?)

• A. A vulnerability is an attacker, while a threat is a weakness in the system
• B. A threat is a potential negative event or action (e.g., "attacker submits SQL injection payload"); a vulnerability is the weakness that enables the threat to succeed (e.g., "loan search query uses string concatenation"); risk is the probability × impact of the threat exploiting the vulnerability
• C. Threats and vulnerabilities are the same thing — they can be used interchangeably
• D. A threat is always an external actor; a vulnerability is always a software bug

The FinTech Company X security team wants to respond quickly when a new critical CVE is disclosed affecting a Go library. They want to know within minutes whether the Platform C platform uses the affected library. What artifact enables this rapid response?
(Nhóm bảo mật muốn phản hồi nhanh khi CVE nghiêm trọng mới được công bố ảnh hưởng đến thư viện Go. Họ muốn biết trong vài phút liệu nền tảng Platform C có sử dụng thư viện bị ảnh hưởng không. Artifact nào cho phép phản hồi nhanh này?)

• A. The application's README.md file
• B. A Software Bill of Materials (SBOM) — a machine-readable inventory of all software components and their versions, enabling automated CVE lookup against the dependency graph
• C. The production deployment runbook
• D. The GitHub commit history

The SolarWinds attack (2020) demonstrated a sophisticated software supply chain attack. Which description BEST explains the attack pattern and its lesson for FinTech Company X?
(Cuộc tấn công SolarWinds (2020) đã chứng minh một cuộc tấn công chuỗi cung ứng phần mềm tinh vi. Mô tả nào giải thích TỐT NHẤT mô hình tấn công và bài học cho FinTech Company X?)

• A. Attackers gained access to SolarWinds' customer database and stole user credentials
• B. Attackers compromised SolarWinds' build pipeline and inserted a backdoor into the Orion software update — legitimate, digitally signed software packages distributed the malware to 18,000+ customers; the lesson is that code signing is not sufficient if the build pipeline is compromised
• C. Attackers exploited a zero-day vulnerability in SolarWinds' web portal
• D. Attackers used SQL injection to extract customer data from SolarWinds' database

The Log4Shell vulnerability (CVE-2021-44228) affected the Apache Log4j2 Java logging library — a transitive dependency in thousands of applications. What is the PRIMARY lesson for FinTech Company X's Platform A Java 8 platform from Log4Shell?
(Lỗ hổng Log4Shell ảnh hưởng đến thư viện ghi nhật ký Java Apache Log4j2 — một dependency bắc cầu trong hàng nghìn ứng dụng. Bài học chính cho nền tảng Platform A Java 8 là gì?)

• A. Java applications should be rewritten in Go to avoid Log4j vulnerabilities
• B. Organizations must maintain SBOMs and run SCA tools (e.g., govulncheck equivalent for Java: OWASP Dependency-Check) to identify vulnerable transitive dependencies — you cannot manage what you cannot inventory
• C. Logging should be disabled in production to prevent exploitation
• D. Log4Shell only affects applications that log user input, so most applications are safe

A security researcher discovers a "dependency confusion" attack targeting FinTech Company X. The attacker publishes a malicious package named trusting-social-internal-utils on the public npm registry — the same name as an internal private package. When developers run npm install, which package gets installed?
(Nhà nghiên cứu bảo mật phát hiện cuộc tấn công "nhầm lẫn phụ thuộc" nhắm vào FinTech Company X. Kẻ tấn công xuất bản gói độc hại cùng tên với gói nội bộ trên registry npm công khai. Khi developer chạy npm install, gói nào được cài đặt?)

• A. Always the private registry package — private packages take precedence
• B. By default, the public registry package with the HIGHER version number — package managers prefer higher versions; an attacker publishes version 9.9.9 of the internal package name to win the version comparison
• C. npm randomly selects between public and private packages
• D. The installation fails with an error when duplicate package names exist

Customer A logs into the Platform C loan platform and makes a GET request to /api/v1/loans/12345 — viewing loan details for loan_id 12345 which belongs to Customer B. The API returns Customer B's loan data without error. What OWASP API Security vulnerability is this, and which privilege escalation type does it represent?
(Khách hàng A đăng nhập vào nền tảng Platform C và yêu cầu GET đến /api/v1/loans/12345 — xem chi tiết khoản vay thuộc về Khách hàng B. API trả về dữ liệu của Khách hàng B mà không có lỗi. Đây là lỗ hổng API Security OWASP nào và loại leo thang đặc quyền nào?)

• A. BFLA (Broken Function Level Authorization) — vertical privilege escalation
• B. BOLA (Broken Object Level Authorization) — horizontal privilege escalation — Customer A accesses Customer B's data at the same privilege level
• C. SQL Injection — the loan_id parameter is injectable
• D. BOLA — vertical privilege escalation — Customer A gains admin access

A security researcher tests the eKYC Vendor eKYC API and discovers that by enumerating verification session IDs (/api/v1/kyc/sessions/1, /api/v1/kyc/sessions/2, ...), they can access any customer's identity verification session. What is this vulnerability and what is the MANDATORY fix?
(Nhà nghiên cứu bảo mật kiểm tra API eKYC Vendor eKYC và phát hiện bằng cách liệt kê ID phiên xác minh, họ có thể truy cập phiên xác minh danh tính của bất kỳ khách hàng nào. Đây là lỗ hổng gì và biện pháp khắc phục BẮT BUỘC là gì?)

• A. SQL Injection — fix with parameterized queries
• B. BOLA (Broken Object Level Authorization) — mandatory fix: (1) use non-sequential, unpredictable IDs (UUID v4), and (2) ALWAYS enforce ownership check in every endpoint: verify the session belongs to the authenticated user
• C. IDOR is acceptable if the session data is not sensitive
• D. Rate limiting the enumeration will fix BOLA

The Platform C loan platform exposes the endpoint GET /api/v1/admin/loans/all which returns all loans across all customers. A regular borrower (not an admin) calls this endpoint by guessing the URL and receives all loan records. What OWASP API vulnerability is this?
(Nền tảng Platform C công khai endpoint GET /api/v1/admin/loans/all trả về tất cả khoản vay của tất cả khách hàng. Người vay thông thường gọi endpoint này và nhận tất cả bản ghi khoản vay. Lỗ hổng OWASP API nào?)

• A. BOLA (API1) — horizontal privilege escalation
• B. BFLA (Broken Function Level Authorization, API5) — vertical privilege escalation — a regular user accessing an admin function
• C. Excessive Data Exposure (API3) — the endpoint returns too much data
• D. Security Misconfiguration (API7) — the endpoint is not properly configured

To prevent BOLA in the Platform C Go platform, the development team proposes: "We'll use randomized loan IDs (UUIDv4) — this prevents BOLA." The security architect disagrees. Who is CORRECT and why?
(Để ngăn chặn BOLA trong nền tảng Platform C Go, nhóm phát triển đề xuất: "Chúng ta sẽ sử dụng loan ID ngẫu nhiên (UUIDv4) — điều này ngăn chặn BOLA." Kiến trúc sư bảo mật không đồng ý. Ai ĐÚNG và tại sao?)

• A. The development team is correct — UUIDv4 is unguessable so BOLA is impossible
• B. The security architect is correct — UUIDv4 reduces enumeration risk but DOES NOT prevent BOLA; an attacker who receives a loan_id through other means (social engineering, API response leakage) can still access unauthorized data without server-side authorization checks
• C. Both are partially correct — UUIDv4 AND rate limiting together prevent BOLA
• D. The security architect is correct — UUIDs should never be used as API identifiers

The FinTech Company X security team wants to test the Platform C API for BOLA vulnerabilities. What is the BEST test approach?
(Nhóm bảo mật muốn kiểm tra API Platform C cho các lỗ hổng BOLA. Cách kiểm tra TỐT NHẤT là gì?)

• A. Run a SAST tool on the Go source code and look for BOLA patterns
• B. Create two test accounts (Account A and Account B), authenticate as Account A, then attempt to access Account B's resources (loan_ids, session_ids) using Account A's authentication token — BOLA exists if Account B's data is returned
• C. Scan the API with an automated vulnerability scanner and check for BOLA findings
• D. Review the database schema for missing primary key constraints

The Platform C PostgreSQL database contains loan data for multiple lending partners (FinTech Company X, BFI Finance, Partner E). Each partner should only see their own customers' loans. What PostgreSQL security feature provides TRANSPARENT, server-enforced row-level access control for multi-tenant isolation?
(Cơ sở dữ liệu PostgreSQL Platform C chứa dữ liệu khoản vay cho nhiều đối tác cho vay. Mỗi đối tác chỉ nên thấy dữ liệu của khách hàng của mình. Tính năng bảo mật PostgreSQL nào cung cấp kiểm soát truy cập cấp hàng TRONG SUỐT, được thực thi bởi máy chủ?)

• A. PostgreSQL role-based permissions (GRANT/REVOKE)
• B. PostgreSQL Row-Level Security (RLS) — policies attached to tables that automatically filter rows based on the current user context, transparent to application queries
• C. Separate database schemas per tenant
• D. Application-layer WHERE clause filtering in every query

A data analyst at FinTech Company X runs the following queries on the Platform C database: "How many loans were approved by region?", "What is the average loan amount by age group?", "What percentage of borrowers with income > 10M IDR were rejected?" Individually, each query returns only aggregate statistics. But combining results reveals individual customers' loan status. What database security attack is this?
(Nhà phân tích dữ liệu chạy nhiều truy vấn riêng lẻ chỉ trả về thống kê tổng hợp. Nhưng kết hợp kết quả tiết lộ trạng thái khoản vay của khách hàng cá nhân. Đây là cuộc tấn công bảo mật cơ sở dữ liệu nào?)

• A. SQL Injection
• B. Aggregation attack — combining individually innocuous aggregate queries to derive sensitive individual-level information
• C. Privilege escalation
• D. Data exfiltration via SQL UNION

The Platform C database stores loan applications at different sensitivity levels: Unclassified (loan amount), Confidential (credit score), and Top Secret (biometric identity data). A database user with Confidential clearance executes a query that joins the biometric table. What database security mechanism prevents the user from inferring Top Secret data through query results?
(Cơ sở dữ liệu Platform C lưu trữ đơn vay ở các mức độ nhạy cảm khác nhau. Người dùng có clearance Bí mật thực hiện truy vấn kết hợp bảng sinh trắc học. Cơ chế bảo mật cơ sở dữ liệu nào ngăn chặn người dùng suy ra dữ liệu Tuyệt mật?)

• A. Role-based access control (RBAC)
• B. Polyinstantiation — maintaining multiple versions of the same data at different classification levels so that lower-clearance users see different (but consistent) values rather than the true classified value
• C. Data masking — showing asterisks instead of real values
• D. Database encryption at rest

An inference attack occurs when a user deduces classified information from unclassified query results. Which database design technique SPECIFICALLY addresses inference attacks in multilevel secure databases?
(Tấn công suy luận xảy ra khi người dùng suy ra thông tin bí mật từ kết quả truy vấn không mật. Kỹ thuật thiết kế cơ sở dữ liệu nào ĐẶC BIỆT giải quyết các cuộc tấn công suy luận trong cơ sở dữ liệu đa cấp bảo mật?)

• A. Database normalization
• B. Polyinstantiation — creating multiple instances of data at different security levels and controlling which version is returned based on the requester's clearance
• C. Database sharding
• D. Column-level encryption

The Platform C API exposes a GraphQL endpoint. A security researcher queries the API without authentication and receives a complete list of all available types, fields, and relationships in the schema. What security misconfiguration is demonstrated?
(API Platform C công khai một endpoint GraphQL. Nhà nghiên cứu bảo mật truy vấn API mà không cần xác thực và nhận được danh sách đầy đủ tất cả các loại, trường và mối quan hệ có sẵn trong schema. Cấu hình sai bảo mật nào được chứng minh?)

• A. BOLA — the researcher is accessing other users' data
• B. GraphQL introspection enabled in production — exposes the full API schema to unauthenticated users, enabling attackers to map the attack surface and discover sensitive fields and mutations
• C. SQL injection via GraphQL query parameters
• D. Denial of Service via complex GraphQL nested queries

The Platform C loan API returns the following response for every loan query, regardless of what the client needs:
{"loan_id": "...", "amount": 5000000, "borrower_name": "...", "borrower_id_number": "3201...", "credit_score_raw": 712, "internal_scoring_model_version": "v3.2", "underwriter_notes": "..."}
What OWASP API vulnerability is this?
(API khoản vay Platform C trả về tất cả các trường cho mỗi truy vấn, bao gồm số ID, điểm tín dụng thô, phiên bản mô hình nội bộ và ghi chú bảo lãnh. Đây là lỗ hổng OWASP API nào?)

• A. BOLA (API1) — unauthorized data access
• B. Excessive Data Exposure (API3) / Mass Assignment — the API returns more data than clients need, exposing sensitive internal fields that should never be client-visible
• C. Injection (API8) — the query response contains executable content
• D. BFLA (API5) — function-level authorization failure

FinTech Company X uses an open-source Go library for generating loan amortization schedules. A new version of the library is released. Before updating the go.mod and go.sum files to pull the new version, what is the MOST IMPORTANT security action?
(FinTech Company X sử dụng thư viện Go mã nguồn mở để tạo lịch trình trả nợ. Trước khi cập nhật go.mod và go.sum để kéo phiên bản mới, hành động bảo mật QUAN TRỌNG NHẤT là gì?)

• A. Update immediately — newer versions are always more secure
• B. Review the library's release notes and changelog for security fixes; check the diff for unexpected changes; verify the module hash in go.sum matches the released module; run govulncheck after updating
• C. Email the library maintainer to ask if the new version is safe
• D. Wait 90 days before updating to see if other users report issues

The Platform C API rate limit is set to 1,000 requests per hour per authenticated user. A security engineer argues this is insufficient against a credential stuffing attack using 100,000 stolen credential pairs. What additional API security control SPECIFICALLY addresses automated credential stuffing?
(Giới hạn tốc độ API Platform C được đặt ở mức 1.000 yêu cầu mỗi giờ cho mỗi người dùng đã xác thực. Kiểm soát bảo mật API bổ sung nào ĐẶC BIỆT giải quyết việc nhồi nhét thông tin xác thực tự động?)

• A. Increase the rate limit to 10,000 requests per hour
• B. Implement CAPTCHA or proof-of-work challenges on authentication endpoints, combined with device fingerprinting, behavioral analysis, and breach credential database lookup (Have I Been Pwned API)
• C. Require users to use longer passwords
• D. Implement TLS certificate pinning on the mobile app

FinTech Company X generates SBOMs for all Platform C Go services during CI/CD using the CycloneDX format. A new CVE is published affecting github.com/gorilla/mux v1.8.0. How does the SBOM help the security team IMMEDIATELY?
(FinTech Company X tạo SBOM cho tất cả dịch vụ Platform C Go trong CI/CD bằng định dạng CycloneDX. Một CVE mới được công bố ảnh hưởng đến github.com/gorilla/mux v1.8.0. SBOM giúp nhóm bảo mật NGAY LẬP TỨC như thế nào?)

• A. The SBOM automatically patches the vulnerable library
• B. The SBOM provides a machine-readable inventory that can be immediately queried: "Which services include gorilla/mux v1.8.0?" — identifying exactly which Platform C microservices are at risk within seconds, enabling targeted remediation
• C. The SBOM alerts developers via email when a new CVE is published
• D. The SBOM prevents the vulnerable library from being used in new builds

FinTech Company X's security team is implementing a comprehensive software supply chain security program for all Go and Java services. Which combination of controls BEST addresses the FULL software supply chain risk?
(Nhóm bảo mật đang triển khai chương trình bảo mật chuỗi cung ứng phần mềm toàn diện. Tổ hợp kiểm soát nào giải quyết TỐT NHẤT toàn bộ rủi ro chuỗi cung ứng phần mềm?)

• A. Use only internal libraries with no external dependencies
• B. SBOM generation + SCA (govulncheck / OWASP Dependency-Check) + image digest pinning + CI/CD pipeline integrity (code signing, provenance attestation) + dependency review for new packages + secrets detection (TruffleHog)
• C. Run antivirus on all downloaded packages
• D. Only use libraries with more than 1,000 GitHub stars

The FinTech Company X CISO presents to the board: "Our Platform C platform is protected by: parameterized queries in all SQL, gosec + govulncheck blocking gates in CI/CD, STRIDE threat models for all new features, PostgreSQL Row-Level Security for tenant isolation, SBOM for all services, BOLA testing in every API security review, and TruffleHog scanning git history." A board member asks: "Is there anything else we should prioritize?" What is the MOST IMPORTANT gap the CISO should address NEXT?
(CISO trình bày với hội đồng quản trị về các biện pháp bảo mật đã triển khai. Thành viên hội đồng hỏi: "Có điều gì khác cần ưu tiên không?" Khoảng trống QUAN TRỌNG NHẤT nào CISO nên giải quyết TIẾP THEO?)

• A. The CISO should be satisfied — all major controls are in place
• B. Security is a continuous improvement process — next priorities should include: third-party penetration testing (independent validation), security incident response rehearsal (tabletop exercises for breach scenarios), software supply chain provenance attestation (SLSA Level 3), and privacy engineering review (data minimization for PDPA compliance)
• C. The platform should be migrated to a different programming language
• D. The board should hire more security engineers before anything else