preguntas de la entrevista AppSec?

¿Qué tipos diferentes de XSS hay? ¿Cómo son explotados? ¿Cómo los remediarías?

Responda también a las 3 preguntas anteriores para la inyección de SQL y la falsificación de solicitudes entre sitios.

¿Qué tipo de vulnerabilidades son difíciles de detectar con los escáneres automatizados? ¿Cómo probarías manualmente estas vulnerabilidades?

Sería difícil pasar por alto una entrevista con Appsec a menos que la persona que lo entrevista no tenga ni idea, o esté dispuesta a enfrentarse a alguien con poca experiencia.

No intento ser grosero, solo una advertencia. El entrevistador realmente puede preguntar cualquier cosa, ya que el rango de conocimientos que debe tener es bastante extenso.

No sé cuánto tiempo tiene, pero recomendaría "El manual de piratas informáticos de aplicaciones web". Es muy profundo.

• ¿Cuáles son algunas estrategias para detectar y prevenir vulnerabilidades? introducido por bibliotecas de terceros?
• ¿Cómo le demostraría a un cliente por qué es importante arreglarlo? fallas de secuencias de comandos reflexivas entre sitios?
• ¿Cómo le demostraría a un cliente por qué MD5 no es apropiado? Algoritmo para usar cuando hash de contraseñas?
• ¿Qué scripts o herramientas ha escrito para ayudarlo en la prueba de la pluma? aplicaciones?
• ¿Cómo recomendaría a un cliente que solucione un problema de CSRF que haya encontrado?
• ¿Cómo podría evitar un firewall de aplicación web que está bloqueando? ¿Tus ataques contra una aplicación vulnerable?
• Su cliente no ha notado ninguno de sus intentos de intrusión. Qué ¿Le aconsejaría?

Puedes preguntar sobre las 10 principales vulnerabilidades de Owasp. Como una pregunta específica, puedes preguntar sobre la relación csrf y xss.