Всем привет ! Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security. Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью. Вот что я подметил для себя: 1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида: 1) Когда безопасим только через сканирование кода (SAST, DAST) и тд. 2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC. 3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level). 2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить. 3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются: 1) Sop и CORS. 2) Виды Грантов Oauth 2.0 3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям. 4) Браузерные хранилища и их разница. 5) Атрибуты безопасности Cookie (в особенности SameSite) 6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд. 7) CSP, митигация Dom XSS Скоро новый пост 🥷