为网络安全带来微小而美好的改变

应用安全面试题目

应用安全主要确保软件应用在需求、设计、研发、测试、部署、升级等全生命周期的安全性。

应用安全往往是各家企业都有配置资源建设,且往往都是重要方向。此处应用安全定义为基础设施之上运行的软件服务,主要分为应用安全、供应链安全、移动端安全、IoT安全、Web3安全以及AI安全等方向。应用安全主要以Java/PHP/Go等语言开发的业务应用。供应链安全包括采购部署的各类开源/商业的三方应用或者服务,甚至这些应用所依赖的中间件、组件。移动端安全主要保障在Android和iOS上的App,以及在微信/支付宝等平台上的小程序,主要围绕程序保护(逆向、混淆、虚拟机等)、端环境与风险识别(应用、设备、行为等维度信息分析、设备ID、设备指纹等)、安全组件(包括滑块/投篮/选图/无痕验证码、安全键盘、安全签名验签、安全储存、安全Webview容器、加解密、恶意软件识别、钓鱼链接识别、诈骗电话/短信识别等)、端安全对抗(攻击行为采集、HotPatch等)、端代码安全扫描(包括合规扫描、漏洞扫描等)。IoT安全主要保障各类软件和硬件结合的产品,主要解决传感器安全、通用固件提取与修改、测信道、无线网络攻防、入侵检测、FIDO以及特定场景(比如工业设备、汽车等安全)。Web3以及AI安全等为近些年新出现的场景。

应用安全的建设一般分为安全能力建设岗位与安全运营岗位,安全能力建设偏向开发方向,包括建设黑白灰盒(IAST/DAST/SAST/MAST)、安全组件、SDL平台、安全资产平台、应用安全防护能力(RASP等)、漏洞管理平台等。安全运营岗位偏向机制建设与运营,包括建设应用安全流程、规范、机制建设(涵盖安全意识提升、安全策略运营、安全风险治理等等工作)。当进一步深入建设后,还会衍生出通用程序分析、漏洞扫描与挖掘、各类环境模拟等基础安全研究方向岗位。

应用安全主要工作内容
应用安全主要工作内容

安全运营

安全理念

安全意识

安全规范

安全评估

安全解决方案

安全资产

渗透测试

漏洞是应用安全岗位从业基础,挑选两到四个不同方向常见和不常见的漏洞,就漏洞原理、利用方式和修复方案进行提问,然后根据回答的情况进行详细深入的二次提问。

常规漏洞

业务逻辑漏洞

API安全

协议漏洞

业务风险

算法安全

加解密

供应链安全

安全扫描器

IAST

SAST

DAST

应用安全防护

RASP

WAF

安全头

修复组件

漏洞处置

漏洞管理

应急响应

nday情报

其它应用类型

前端/移动端安全

为网络安全带来微小而美好的改变
Loading