PythonSec

Всем привет !

Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.

Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.

Вот что я подметил для себя:

1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:

1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.

2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.

3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).


2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.

3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются:
1) Sop и CORS.
2) Виды Грантов Oauth 2.0
3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям.
4) Браузерные хранилища и их разница.
5) Атрибуты безопасности Cookie (в особенности SameSite)
6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд.
7) CSP, митигация Dom XSS

Скоро новый пост 🥷

www.tgoop.com/hackedbypython/311

1.1K viewsedited  Dec 18, 2024 at 11:44

Всем привет !

Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.

Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.

Вот что я подметил для себя:

1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:

1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.

2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.

3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).


2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.

3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются:
1) Sop и CORS.
2) Виды Грантов Oauth 2.0
3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям.
4) Браузерные хранилища и их разница.
5) Атрибуты безопасности Cookie (в особенности SameSite)
6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд.
7) CSP, митигация Dom XSS

Скоро новый пост 🥷

BY PythonSec