Insecure Design là nhóm lỗ hổng xuất phát từ thiết kế kiến trúc và tư duy xây dựng ứng dụng không an toàn, chứ không phải do code viết sai cú pháp hay cấu hình hệ thống thiếu chặt chẽ. Đây là điểm khiến Insecure Design trở nên đặc biệt nguy hiểm:
👉 Lỗi nằm ở cách nghĩ, không chỉ ở dòng code.

Nói cách khác, dù lập trình viên có áp dụng đầy đủ best practice, validate input cẩn thận, dùng framework hiện đại và code “chuẩn sách giáo khoa”, thì ứng dụng vẫn có thể dễ dàng bị tấn công nếu ngay từ đầu kiến trúc và workflow đã thiếu tư duy bảo mật.

---

❗ Điểm nguy hiểm của Insecure Design

Khác với các lỗ hổng kỹ thuật quen thuộc như SQL Injection, XSS hay Command Injection – vốn có thể phát hiện bằng scan hoặc vá bằng cách sửa code – Insecure Design ăn sâu vào logic vận hành của hệ thống.

Những vấn đề này thường nằm ở:

• Cách ứng dụng xử lý nghiệp vụ
• Luồng xác thực – phân quyền
• Niềm tin đặt sai chỗ (trust assumptions)
• Các kịch bản “developer không nghĩ tới”

Khi hệ thống đã được triển khai, việc sửa Insecure Design thường:

• 💸 Tốn kém chi phí
• 🔧 Ảnh hưởng lớn đến toàn bộ hệ thống
• 🔁 Có thể phải thiết kế lại toàn bộ workflow, thậm chí thay đổi kiến trúc ứng dụng

---

📌 Ví dụ điển hình: Khôi phục mật khẩu bằng câu hỏi bảo mật

OWASP đưa ra một ví dụ rất quen thuộc và thực tế:

👉 Sử dụng câu hỏi bảo mật để reset mật khẩu, như:

• “Bạn lớn lên ở con đường nào?”
• “Tên trường tiểu học của bạn là gì?”

Thoạt nhìn, workflow này có vẻ hợp lý và thân thiện với người dùng. Tuy nhiên, vấn đề cốt lõi nằm ở bản chất thông tin:

• Những dữ liệu này không thực sự bí mật
• Có thể:
  • Bị đoán
  • Bị thu thập từ mạng xã hội
  • Bị người quen biết
  • Xuất hiện trong các data leak

➡️ Điều quan trọng là:

Dù workflow này được code hoàn hảo đến đâu, nó vẫn không an toàn, bởi vì thiết kế ngay từ đầu đã sai. Đây chính là ví dụ điển hình của Insecure Design, không phải lỗi implementation.

---

⚠️ Insecure Design thường xuất hiện khi

Trong thực tế, Insecure Design hay xuất hiện ở các dự án:

• ❌ Không thực hiện Threat Modeling ngay từ đầu
• ⚡ Ưu tiên tính năng, deadline hơn bảo mật
• 🔐 Giả định rằng người dùng hoặc hệ thống bên ngoài là “đáng tin”
• 📄 Không có security requirements trong giai đoạn thiết kế
• 🤔 Không đặt câu hỏi: “Nếu attacker cố tình lạm dụng logic này thì sao?”

Nhiều hệ thống không bị hack vì code yếu, mà vì developer không nghĩ như attacker.

---

🛡️ Cách giảm thiểu Insecure Design

Một trong những biện pháp quan trọng nhất để hạn chế Insecure Design là Threat Modeling trước khi deploy ứng dụng. Quá trình này giúp team:

• Xác định tài sản cần bảo vệ (data, tài khoản, quyền admin…)
• Phân tích các mối đe dọa tiềm ẩn
• Dự đoán cách attacker có thể lạm dụng logic hệ thống
• Thiết kế cơ chế kiểm soát phù hợp ngay từ đầu

Ngoài ra, cần:

• Áp dụng tư duy Secure by Design
• Không tin dữ liệu từ client
• Sử dụng các mô hình xác thực hiện đại:
  • MFA
  • Token-based authentication
  • Email / OTP verification
• Đánh giá bảo mật ngay từ giai đoạn kiến trúc, thay vì đợi code xong mới kiểm tra

---

🧠 Kết luận: Insecure Design là lỗ hổng của tư duy, không chỉ là lỗ hổng của code.

Muốn xây dựng một hệ thống thực sự an toàn, bảo mật phải được xem là yêu cầu cốt lõi ngay từ giai đoạn thiết kế, chứ không phải là bước “vá lỗi” ở cuối dự án.

Một ứng dụng an toàn không phải là ứng dụng không có bug,
mà là ứng dụng được thiết kế để không dễ bị lạm dụng.
​