Đồ án Pentest Web bắt kịp xu hướng 2025

Technical Writer
Đồ án Pentest Web bắt kịp xu hướng 2025

Giới thiệu

Năm 2025, an ninh mạng đang chứng kiến nhiều xu hướng tấn công mới đan xen giữa hạ tầng truyền thống và công nghệ hiện đại. Đối với đồ án tốt nghiệp về pentest web, sinh viên nên chọn hướng đi vừa thiên về thực chiến (hands-on) vừa cập nhật các xu hướng mới nhất. Dưới đây là danh sách các hướng đề xuất hot nhất cho đề tài pentest web, được phân cấp theo mức độ khó (Cơ bản, Trung cấp, Nâng cao), kết hợp yếu tố Web + Cloud/IoT/AI và liên hệ đến bug bounty. Mỗi hướng đi đều có tính ứng dụng cao và kèm theo tài liệu, công cụ tham khảo mới nhất.

Bảng xếp hạng đề xuất 🎯

Thứ hạng Hướng đề xuất (Chủ đề) Mức độ
1. 🤖 Tấn công ứng dụng web tích hợp AI (AI-Powered App) Nâng cao
2. ☁️ Pentest ứng dụng web trên Cloud & Container Nâng cao
3. 📡 Kiểm thử bảo mật thiết bị IoT & hệ thống nhúng Nâng cao
4. 🔗 Pentest API & Microservices (REST/GraphQL) Trung cấp
5. 🐞 Săn lỗ hổng Bug Bounty & Tự động hóa pentest Trung cấp
6. 🔒 Thực chiến OWASP Top 10 trên ứng dụng hiện đại Cơ bản

(Bảng trên liệt kê các hướng đi từ hot nhất, kèm emoji minh họa chủ đề và mức độ khó. Nội dung chi tiết cho từng hướng được trình bày bên dưới.)

🤖 Tấn công ứng dụng web tích hợp AI (Nâng cao)

Các ứng dụng web tích hợp trí tuệ nhân tạo (AI) như chatbot, trợ lý ảo, hệ thống gợi ý đang bùng nổ. Điều này mở ra mặt trận mới cho pentest: tấn công thông qua prompt injection hoặc khai thác lỗ hổng trong mô hình học máy. Chẳng hạn, prompt injection có thể khiến mô hình AI sinh ra mã độc hoặc tiết lộ thông tin nhạy cảm. Mới đây, một chatbot AI tên DeepSeek đã bị khai thác bằng prompt injection, dẫn đến thực thi JavaScript trái phép (lỗi XSS) và chiếm quyền phiên đăng nhập người dùng​. 48% lãnh đạo an ninh mạng cũng đánh giá AI generative là rủi ro bảo mật đáng kể hiện nay​. Do đó, pentest web năm 2025 không thể bỏ qua hướng tấn công các hệ thống AI/ML.

  • Xu hướng nổi bật: Khi AI được nhúng vào ứng dụng, hacker có thể lợi dụng prompt injection để bypass các kiểm soát hoặc ra lệnh trái phép cho hệ thống AI​. Các mô hình lớn (LLM) còn đối mặt với nguy cơ rò rỉ dữ liệu đào tạo và bị jailbreak. OWASP đã bắt đầu xây dựng danh sách Top 10 rủi ro cho các ứng dụng LLM (trong đó Prompt Injection đứng đầu) nhằm cảnh báo về xu hướng này.
  • Ý tưởng thực hiện: Xây dựng một ứng dụng web demo có tích hợp API của chatbot (ví dụ: OpenAI GPT-3/4) hoặc mô hình ML, sau đó thử thực hiện các cuộc tấn công prompt injection, jailbreak chatbot, hay tấn công adversarial (như thêm nhiễu vào đầu vào để đánh lừa mô hình). Phân tích tác động (ví dụ: chiếm quyền người dùng, rò dữ liệu) và đề xuất biện pháp phòng thủ.
  • Tài liệu / Công cụ tham khảo:
    • OWASP Top 10 for LLM 2024 – tài liệu OWASP về các lỗ hổng hàng đầu trong hệ thống AI.
    • Bài nghiên cứu về Prompt Injection từ Jfrog và Google Security​​.
    • Công cụ: Thử nghiệm với OpenAI Playground, dùng thư viện LangChain để hiểu cách mô hình xử lý prompt. Các công cụ đánh giá độ bền mô hình như IBM Adversarial Robustness Toolbox cũng hữu ích.

☁️ Pentest ứng dụng web trên Cloud & Container (Nâng cao)

Ngày nay, nhiều ứng dụng web chạy trên kiến trúc cloud-native (microservices, container, serverless). Điều này kéo theo các kỹ thuật pentest mới nhằm vào hạ tầng cloud. Ví dụ điển hình là lỗ hổng Server-Side Request Forgery (SSRF): kẻ tấn công lợi dụng ứng dụng web để truy vấn các dịch vụ nội bộ hoặc metadata của cloud (như AWS/Azure) nhằm chiếm quyền truy cập. SSRF đã tăng mạnh về tần suất và mức độ nguy hiểm do sự phổ biến của dịch vụ cloud và kiến trúc phức tạp​. Bên cạnh đó, lỗ hổng cấu hình trên container có thể giúp attacker pivot từ một container bị xâm nhập sang hệ thống chính, gây rò rỉ dữ liệu hoặc thực thi mã tùy ý​. Pentest hướng này rất thực chiến vì nhiều công ty đang chuyển lên cloud nhưng vẫn hở sườn bảo mật.

  • Xu hướng nổi bật: Các cuộc tấn công nhắm vào cloud infrastructure ngày càng phổ biến. OWASP đã đưa SSRF vào Top 10 do mức độ gia tăng và hậu quả nghiêm trọng của nó trong môi trường cloud​​. Đồng thời, Container Security được xem là thách thức trọng tâm năm 2025 – khi cấu hình sai hoặc image không vá có thể mở đường cho tấn công toàn hệ thống​. Các sự cố nổi tiếng (như tấn công Capital One qua SSRF vào AWS) minh chứng đây là hướng hot.
  • Ý tưởng thực hiện: Xây dựng môi trường lab với một ứng dụng web chạy trên máy ảo cloud (AWS, Azure) hoặc trên Docker/Kubernetes. Thử khai thác SSRF để truy cập tài nguyên nội bộ (ví dụ: đọc thông tin AWS IAM role từ http://169.254.169.254), leo thang thành quyền quản trị cloud. Ngoài ra, kiểm thử độ an toàn của container: dò tìm lỗ hổng trong image, thử tấn công thoát khỏi container (container escape) hoặc tấn công vào dịch vụ serverless. Cuối cùng, đề xuất cách harden: cấu hình tường lửa, IAM, network segmentation, v.v.
  • Tài liệu / Công cụ tham khảo:
    • OWASP Cloud Security guidelines và dự án mẫu CloudGoat (ThreatResponse) để thực hành tấn công cloud.
    • Báo cáo xu hướng bảo mật cloud năm 2025 của SentinelOne​ và Check Point (Top 7 lỗ hổng cloud 2024).
    • Công cụ: Sử dụng Burp Suite hoặc HTTP Toolkit cho SSRF; công cụ chuyên biệt như Pacu (AWS exploitation toolkit), Scout Suite để audit cấu hình cloud; Docker Bench for Security để kiểm tra container.

📡 Kiểm thử bảo mật thiết bị IoT & hệ thống nhúng (Nâng cao)

Với sự bùng nổ của IoT (Internet of Things), vô số thiết bị thông minh (camera, router, thiết bị đeo, hệ thống OT công nghiệp...) kết nối mạng đang trở thành mục tiêu hấp dẫn. Nhiều thiết bị IoT có web interface để cấu hình nhưng bảo mật kém (mật khẩu mặc định, firmware lỗi thời). Theo OWASP, mật khẩu yếu hoặc hardcode đứng đầu danh sách lỗ hổng IoT​. Thực tế năm 2024 đã ghi nhận các chiến dịch tấn công quy mô lớn: hacker “Matrix” biến hàng loạt thiết bị IoT dính lỗi thành một botnet toàn cầu để DDoS bằng cách khai thác lỗ hổng chưa vá trên chúng​. Điều này cho thấy nhu cầu cấp thiết của pentest IoT trong bối cảnh ngôi nhà thông minh và hạ tầng thông minh.

  • Xu hướng nổi bật: Các lỗ hổng IoT thường xuất phát từ firmware không được cập nhật, sử dụng thành phần thư viện cũ và cơ chế update không an toàn​. Hacker có thể khai thác điều đó để kiểm soát thiết bị và tấn công lan sang mạng nội bộ. Năm 2024, hàng trăm nghìn thiết bị như router, camera đã bị huy động vào botnet do không vá lỗi kịp thời​​. Xu hướng 2025 đòi hỏi kiểm thử IoT toàn diện hơn, đặc biệt trong các ngành nhạy cảm (sức khỏe, công nghiệp) khi IoT kết nối cả hệ thống IT và OT.
  • Ý tưởng thực hiện: Chọn một thiết bị IoT phổ biến (camera IP, router Wi-Fi, hoặc kit IoT Arduino/Raspberry Pi), thiết lập môi trường thí nghiệm. Tiến hành pentest: phân tích firmware (dùng kỹ thuật firmware reverse engineering), tìm cửa hậu hoặc thông tin nhạy cảm; kiểm tra các cổng dịch vụ mở trên thiết bị; thử tấn công web interface (SQLi, XSS) nếu có; kiểm tra giao thức (MQTT, CoAP) xem có mã hóa hay không. Một hướng khác là đánh giá IoT cloud đi kèm (ví dụ dịch vụ điều khiển từ xa của camera). Kết quả đồ án bao gồm các lỗ hổng tìm được và khuyến nghị vá (như đổi mật khẩu mặc định, cập nhật firmware, bật xác thực hai lớp,...).
  • Tài liệu / Công cụ tham khảo:
    • OWASP IoT Top 10 (2024) – danh sách các lỗ hổng IoT hàng đầu và biện pháp phòng chống.
    • Báo cáo về các vụ tấn công IoT nổi bật 2024 (Asimily)​​, tài liệu NIST IoT Security.
    • Công cụ: Sử dụng Firmware Analysis Toolkit (binwalk, Firmware-Mod-Kit) để phân tích firmware; RouterSploit và Metasploit cho khai thác IoT; Wireshark để phân tích giao thức IoT.

🔗 Pentest API & Microservices (Trung cấp)

Các API web (RESTful, GraphQL) và kiến trúc microservices đang là xương sống của ứng dụng hiện đại. Điều này tạo ra bề mặt tấn công mới ngoài giao diện web thông thường. Thực tế, nhiều vụ rò rỉ dữ liệu lớn bắt nguồn từ API bị hỏng kiểm soát truy cập hoặc bị lạm dụng. Theo Gartner, đến năm 2027 có 60% doanh nghiệp sẽ dùng GraphQL trong hệ thống của mình (tăng từ <30% năm 2024)​ – tức là việc đảm bảo an ninh cho API là tối quan trọng. Một báo cáo 2024 đã phân tích ~13 nghìn vấn đề bảo mật GraphQL và phát hiện gần 69% dịch vụ GraphQL dễ bị DoS do không giới hạn truy vấn, và hơn 4.000 secret/token đã bị lộ qua phản hồi API​. Những con số này cho thấy pentest API là hướng rất nóng.

  • Xu hướng nổi bật: Lỗ hổng API được dự báo sẽ vượt mặt ứng dụng web truyền thống trở thành nguồn tấn công chính. Các lỗi phổ biến gồm Broken Authentication, Broken Access Control trên API (nhiều API quên kiểm tra quyền ở tầng backend). Với GraphQL, còn có các lỗi đặc thù: truy vấn quá sâu gây quá tải, lộ schema và dữ liệu nhạy cảm qua introspection. Việc lộ thông tin nhạy cảm qua API response (như token, khóa API) cũng xảy ra thường xuyên​. OWASP đã có hẳn API Security Top 10 để giúp dev tránh sai lầm cơ bản.
  • Ý tưởng thực hiện: Xây dựng một ứng dụng web kiểu microservice (ví dụ: frontend giao tiếp với backend qua REST/GraphQL API). Thực hiện pentest vào API: dùng kỹ thuật fuzzing tham số API, thử các trường hợp thiếu kiểm tra quyền (ví dụ: IDOR - thay ID của đối tượng để truy cập dữ liệu của người khác), SQL/NoSQL injection qua API, GraphQL Introspection query để lộ cấu trúc schema. Đặc biệt chú trọng kiểm thử GraphQL nếu có: ví dụ gửi query phức tạp để gây từ chối dịch vụ, hoặc tìm cách vượt qua cơ chế xác thực trên GraphQL. Cuối cùng, sinh viên đề xuất giải pháp bảo mật: sử dụng rate limit, xác thực cho API, ủy quyền đúng cách giữa các microservice.
  • Tài liệu / Công cụ tham khảo:
    • OWASP API Security Top 10 (2023) – hướng dẫn các lỗ hổng API thường gặp và cách phòng tránh.
    • Báo cáo "State of GraphQL Security 2024"​ và blog về lỗ hổng API của PortSwigger.
    • Công cụ: Sử dụng Postman hoặc Insomnia để kiểm thử API; Burp Suite (Extender như GraphQL Raider hoặc QLmap) để fuzz GraphQL; công cụ JWT Tool để thử tấn công JSON Web Token nếu API dùng JWT.

🐞 Săn lỗ hổng Bug Bounty & Tự động hóa pentest (Trung cấp)

Trong lĩnh vực bug bounty, hacker thường phải kiểm thử nhiều mục tiêu rộng lớn – do đó việc tự động hóa và sử dụng công cụ thông minh là xu hướng tất yếu để nâng cao hiệu quả. Số lượng lỗ hổng được cộng đồng tìm thấy đang tăng đều: trên nền tảng HackerOne, năm vừa qua số lỗi báo cáo hợp lệ đã tăng 12% (đạt 78.042 lỗi)​. Tuy nhiên, các lỗi phổ biến như XSS, SQLi… dần giảm tần suất nhờ nhiều công cụ tự động phát hiện sớm​. Thay vào đó, bug hunter chuyển sang tìm các lỗi phức tạp hơn (logic, chain bug). Việc tối ưu quy trình săn lỗi (recon nhanh hơn, scan thông minh hơn) và áp dụng AI hỗ trợ pentest đang trở thành hướng đi “hot” cho cả pentester và các nhóm đỏ.

  • Xu hướng nổi bật: Năm 2024 chứng kiến sự trỗi dậy của các tool scan tự động và machine learning trong pentest​. Nhiều bug hunter viết script tùy biến hoặc dùng công cụ mã nguồn mở (Subdomain takeovers, fuzzing, v.v.) chạy song song để bao phủ mục tiêu. AI cũng bắt đầu được dùng để gợi ý payload, phân tích code tự động. Bug bounty platform ngày càng cạnh tranh, đòi hỏi hacker phải tối ưu workflow: thu thập thông tin (recon) diện rộng, sau đó lọc kết quả thông minh để tìm điểm yếu.
  • Ý tưởng thực hiện: Xây dựng bộ công cụ tự động hóa cho quy trình pentest/bug bounty. Ví dụ: một script Python kết hợp API của Shodan, Google Dork để thu thập subdomain, sau đó dùng nuclei hoặc Nikto scan lỗ hổng cơ bản, rồi dùng OpenAI API phân tích phản hồi để phát hiện dấu hiệu bất thường. Sinh viên cũng có thể phát triển một công cụ machine learning đơn giản để phân loại mức độ tiềm năng của kết quả scan (xác định false positive). Kết quả đồ án: một framework nhỏ giúp tự động hoá một phần công việc pentest, kèm theo thử nghiệm thực tế trên một số target (cho phép) và thống kê hiệu quả.
  • Tài liệu / Công cụ tham khảo:
    • Blog “Automation in Penetration Testing 2024”​, báo cáo HackerOne Annual Report (xu hướng bug bounty mới).
    • Công cụ: Nuclei (project Discovery) với hàng ngàn template để quét lỗ hổng web tự động; Amass và Sublist3r cho recon; Burp Suite tích hợp Extender như Autorize, Active Scanner++ để tự động kiểm tra logic auth. Ngoài ra có thể tận dụng ChatGPT (OpenAI) để hỗ trợ tạo payload hoặc phân tích mã nguồn.

🔒 Thực chiến OWASP Top 10 trên ứng dụng hiện đại (Cơ bản)

Đây là hướng cơ bản nhưng luôn cần thiết và có tính ứng dụng cao. OWASP Top 10 (2021+) liệt kê các lỗ hổng web phổ biến nhất, và dù nhiều ứng dụng đã cải thiện bảo mật, các lỗ hổng kinh điển như XSS, SQL Injection, RCE... vẫn xuất hiện đều đặn trong thực tế​. Hướng đồ án này tập trung khai thác thực chiến các lỗi OWASP Top 10 trên cả kiến trúc truyền thống và hiện đại. Ví dụ, thử tấn công SQLi trên ứng dụng PHP cổ điển lẫn trên ORM của Python/Node hiện đại; hoặc XSS trên ứng dụng đa trang (multi-page) và ứng dụng đơn trang (SPA) dùng React/Vue. Qua đó, sinh viên hiểu rõ cách các lỗ hổng quen thuộc biến hóa trong môi trường mới và cách phòng chống tương ứng.

  • Xu hướng nổi bật: Nhờ các framework hiện đại và quy trình DevSecOps, tỷ lệ các lỗ hổng OWASP Top 10 truyền thống đang giảm nhẹ (báo cáo cho thấy XSS giảm ~10% so với trước)​, nhưng chúng chưa bị loại bỏ hoàn toàn. Mặt khác, OWASP Top 10 mới bổ sung các hạng mục như Insecure Design, SSRF cho thấy phạm vi nguy cơ mở rộng. Việc thành thạo khai thác và phòng thủ Top 10 vẫn là kỹ năng cốt lõi của pentester/web developer.
  • Ý tưởng thực hiện: Xây dựng một web app tích hợp nhiều lỗ hổng (hoặc dùng sẵn các ứng dụng mục tiêu như DVWA, OWASP Juice Shop). Sau đó tiến hành pentest lần lượt từng loại lỗ hổng: ví dụ SQLi (tấn công đăng nhập admin không mật khẩu), XSS (đánh cắp cookie phiên), CSRF (thực hiện hành động giả mạo), File Inclusion/RCE (upload web shell)... Đặc biệt, phân nhóm các lỗ hổng cơ bản trên nền tảng mới: thử XSS trong ứng dụng React (DOM XSS), thử tấn công NoSQL Injection trên MongoDB, v.v. Kết quả yêu cầu demo được từng exploit và đề xuất cách fix (ví dụ dùng Prepared Statements chống SQLi, Content Security Policy chống XSS).
  • Tài liệu / Công cụ tham khảo:
    • OWASP Web Security Testing Guide – hướng dẫn chi tiết cách kiểm thử các lỗ hổng OWASP.
    • Sách The Web Application Hacker's Handbook (cho nền tảng lý thuyết vững chắc).
    • Công cụ/Platform: DVWA, OWASP Juice Shop (ứng dụng có sẵn lỗi để thực hành); sử dụng Burp Suite Community edition cho công tác fuzz và exploit; các cheat sheet của OWASP cho từng loại lỗ hổng.

Tham khảo chung: Các hướng đề xuất trên đây được chọn lọc dựa trên xu hướng an ninh mạng mới nhất 2024-2025 từ nhiều báo cáo và chuyên gia. Chúng không loại trừ lẫn nhau – một đồ án có thể kết hợp nhiều chủ đề (ví dụ: Pentest một ứng dụng IoT cloud sẽ bao gồm IoT, API và cloud). Tùy vào mức độ kiến thức và đam mê, sinh viên có thể chọn hướng phù hợp nhất. Quan trọng là luôn cập nhật tài liệu mới, thực hành đều đặn và tuân thủ đạo đức nghề nghiệp khi làm pentest (tuân thủ scope, tránh gây hại thực tế). Chúc bạn thành công với đồ án pentest web của mình! 🎉

Albert Einstein

"Education is not the learning of facts,
but the training of the mind to think"


CÔNG TY CỔ PHẦN CYBER JUTSU

Số 3 Nguyễn Xuân Ôn, Phường 2, Quận Bình Thạnh, TP Hồ Chí Minh

Mã số thuế: 0314377455

Hotline: 0906622416

Phản ánh chất lượng dịch vụ: 0906622416

Email liên hệ: contact@cyberjutsu.io

Chịu trách nhiệm nội dung: Nguyễn Mạnh Luật

Khóa học

Web Penetration Testing

Red Team - Exploit 101

1DAY ANALYSIS

Lộ trình học tập

Road Map

Tất cả khóa học

Cộng đồng

Blog

Videos

Cảm nhận học viên

Hall of Fame

Kiểm tra kiến thức

Liên hệ

Chính sách

Lớp học Live Online

Flipped Classroom

Chương trình giới thiệu

Xem tất cả chính sách

Copyright © 2025 CyberJutsu JSC. All Rights Reserved.