# Security Checklist — SOLUTION_ERP > OWASP Top 10 2021 + best practices production. Review trước Phase 5 go-live. ## Current status (sau Phase 5 prep) | Item | Status | Nơi kiểm | |---|---|---| | HTTPS enforce (HSTS 365d) | ✅ | `Program.cs` → `app.UseHsts()` production | | JWT expiry 1h + refresh 7d | ✅ | `appsettings.json` Jwt section | | Password hash PBKDF2 | ✅ | ASP.NET Identity default | | Rate limit `/auth/login` 5/min/IP | ✅ | `Program.cs` `[EnableRateLimiting("auth-login")]` | | Rate limit global 300/min/IP | ✅ | `Program.cs` `GlobalLimiter` | | CORS whitelist 2 origin prod | ✅ | `appsettings.Production.json` `AllowedOrigins` | | JWT secret from user-secrets prod | 🔲 | Cần set khi deploy — xem [`deployment-iis.md §2.4`](deployment-iis.md) | | DB connection user least privilege | 🔲 | `solutionerp_app` cần chỉ `db_owner` trên DB chính, không sysadmin | | Audit log writes | 🟡 | Có `ContractApprovals` cho workflow, chưa có global audit | | SQL injection via EF parameterized | ✅ | EF Core mặc định parameterize | | Input validation | ✅ | FluentValidation mọi command | | XSS protection | ⚠️ | React auto-escape OK, nhưng TextArea notes có thể render raw nếu dev viết `dangerouslySetInnerHTML` | | CSRF protection | 🔲 | JWT localStorage + sameOrigin — không vulnerable CSRF theo classic (không dùng cookie) | | Dependencies scan | 🔲 | Chưa có — thêm `dotnet list package --vulnerable` + `npm audit` vào CI | ## OWASP Top 10 2021 mapping ### A01:2021 — Broken Access Control ✅ **Guard:** `[Authorize]` default trên mọi controller, policy `{Menu}.{Action}` cho granular check. ✅ **FE guard:** `` + `usePermission()` — nhưng BE là source of truth (403 từ BE nếu FE bypass). **Check trước go-live:** - [ ] Test user role Drafter → không access được endpoint `/api/permissions`, `/api/users` - [ ] Test IDOR: user A không truy cập được HĐ user B qua `/api/contracts/{id}` — **HIỆN CHƯA CHECK**. Phase 5 cần thêm check "user tham gia HĐ" (DrafterUserId hoặc có role giữ phase hiện tại). ### A02:2021 — Cryptographic Failures ✅ HTTPS + HSTS production. ✅ JWT HS256 với secret 64+ chars (random). 🔲 Password policy min 8 chars + mixed case + digit + symbol. Prod strong password tối thiểu 12. ### A03:2021 — Injection ✅ EF Core parameterized queries (no raw SQL). ✅ Input validation FluentValidation. ⚠️ File upload: chưa implement upload endpoint; khi làm phải validate MIME + magic bytes + path traversal. ### A04:2021 — Insecure Design ✅ Workflow state machine với explicit adjacency — không cho skip phase bypass rule. ✅ Audit trail qua `ContractApprovals`. 🔲 Business rule: ai được tạo HĐ? Hiện default Drafter role, Phase 5 nên limit theo dept. ### A05:2021 — Security Misconfiguration ✅ `appsettings.Production.json` template có placeholder `__SET_VIA_USER_SECRETS_OR_ENV__` — không có secret thật commit. ✅ `appsettings.Development.json` với dev-only secret. 🔲 IIS hardening: disable server banner header, disable X-Powered-By. 🔲 Swagger chỉ bật dev. **Thêm vào web.config hoặc Program.cs:** ```csharp app.Use(async (ctx, next) => { ctx.Response.Headers.Remove("Server"); ctx.Response.Headers.Remove("X-Powered-By"); ctx.Response.Headers["X-Content-Type-Options"] = "nosniff"; ctx.Response.Headers["X-Frame-Options"] = "DENY"; ctx.Response.Headers["Referrer-Policy"] = "strict-origin-when-cross-origin"; ctx.Response.Headers["Content-Security-Policy"] = "default-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline'"; await next(); }); ``` ### A06:2021 — Vulnerable Components 🔲 CI thêm `dotnet list package --vulnerable --include-transitive` 🔲 CI thêm `npm audit --audit-level=high` 🔲 Monthly update: patch minor versions, major khi LTS cần ### A07:2021 — Authentication Failures ✅ Rate limit login 5/min/IP. ✅ PBKDF2 hash. 🔲 Account lockout sau N lần sai password (config `UserLockout` trong Identity — chưa bật). 🔲 MFA — Phase 6+ nếu cần. **Bật account lockout:** ```csharp services.AddIdentityCore(options => { // ... options.Lockout.DefaultLockoutTimeSpan = TimeSpan.FromMinutes(15); options.Lockout.MaxFailedAccessAttempts = 5; options.Lockout.AllowedForNewUsers = true; }); ``` ### A08:2021 — Software + Data Integrity Failures ✅ EF migrations versioned trong source. ✅ Git commits signed (optional — set `user.signingkey`). 🔲 CI artifact SHA256 verify trước deploy. ### A09:2021 — Logging + Monitoring Failures ✅ Serilog structured → file rolling daily retention 30d prod. ✅ Request log qua `UseSerilogRequestLogging`. 🔲 Alert khi có `/api/auth/login` fail >10/min/IP (SIEM hoặc manual grep log). 🔲 Alert khi `/api/contracts/{id}/transitions` fail role guard >5/min (suspicious activity). ### A10:2021 — SSRF Không áp dụng — app không fetch URL do user cung cấp. ## Pre go-live checklist - [ ] `JWT_SECRET` production ≥ 64 random chars - [ ] Connection string dùng SQL user `solutionerp_app` với password mạnh - [ ] `appsettings.Production.json` đã set `AllowedOrigins` chính xác - [ ] HTTPS cert valid + auto-renew (win-acme scheduled task) - [ ] HSTS preload list (optional) - [ ] Security headers middleware added - [ ] Account lockout enabled (5 fail → lock 15min) - [ ] Password policy min 12 chars prod - [ ] Backup SQL chạy (test restore) - [ ] Log retention 30d verified - [ ] Rate limit test: flood 10 req → 429 từ request thứ 6 - [ ] IDOR check: user Drafter A không xem được HĐ tôi của user B - [ ] CSP header prevent inline script - [ ] Run OWASP ZAP scan → no critical finding - [ ] Dependencies: `dotnet list package --vulnerable` + `npm audit` → clean - [ ] Admin account mặc định `admin@solutionerp.local` — đổi password production hoặc disable ## Incident response **Suspected compromise:** 1. Rotate JWT secret → mọi user bị logout 2. Disable account lockout temporarily để admin login được 3. Check `ContractApprovals` last 24h cho activity bất thường 4. Restore SQL backup nếu có data corruption 5. Report CERT team ## Liên quan - [`deployment-iis.md`](deployment-iis.md) — IIS hardening - [`runbook.md`](runbook.md) — incident response detail - [`../gotchas.md`](../gotchas.md) — pitfall đã gặp