domande sull'intervista AppSec?

2

Mi sto preparando per un colloquio tecnico per una posizione di test delle penne AppSec. Per quelli di voi che hanno avuto posizioni AppSec, quali domande di sharp-shooter pensate che possa aspettarmi? Quali domande faresti a un candidato se tu stessi facendo il colloquio? Grazie per la tua opinione!

    
posta user1722919 29.06.2015 - 03:31
fonte

3 risposte

0

Quali diversi tipi di XSS ci sono? Come vengono sfruttati? Come li rimedi?

Rispondi anche alle 3 domande precedenti per l'iniezione SQL e la falsificazione di richieste cross-site.

Quale tipo di vulnerabilità è difficile da rilevare con gli scanner automatici? Come testesti manualmente queste vulnerabilità?

Sarebbe difficile farti strada attraverso un colloquio appec a meno che la persona che ti sta intervistando non sia clueless, o sia disposto a prendere qualcuno con poca esperienza.

Non cercare di essere scortese, solo un avvertimento. L'intervistatore può davvero chiedere qualsiasi cosa in quanto la gamma di conoscenze che devi avere è piuttosto ampia.

Non so quanto tempo hai ma raccomando "Il manuale degli hacker di applicazioni Web". È molto approfondito.

    
risposta data 29.06.2015 - 04:41
fonte
3
  • Quali sono alcune strategie per rilevare e prevenire le vulnerabilità introdotto da librerie di terze parti?
  • Come dimostreresti a un cliente perché è importante correggere difetti di scripting cross-site riflettenti?
  • Come dimostreresti a un cliente perché MD5 non è appropriato algoritmo da utilizzare quando si utilizzano password di hashing?
  • Quali script o strumenti hai scritto per assisterti nel test delle penne applicazioni?
  • Come consiglieresti a un cliente di risolvere un problema CSRF che hai trovato?
  • Come faresti a evitare un firewall di un'applicazione web che sta bloccando i tuoi attacchi contro un'applicazione vulnerabile?
  • Il tuo cliente non ha notato nessuno dei tuoi tentativi di intrusione. Che cosa consiglieresti?
risposta data 29.06.2015 - 15:28
fonte
1

Puoi chiedere su Owasp le 10 principali vulnerabilità. Come una domanda spesificante puoi chiedere sulla relazione csrf e xss.

    
risposta data 29.06.2015 - 14:26
fonte

Leggi altre domande sui tag