SSRF与CSRF的区别是什么?
XSS漏洞和CSRF漏洞的区别?
什么是Json劫持漏洞,如何防御Json劫持漏洞?
Java反序列化漏洞的原理是什么?目前通常采用哪些通用防御方案(套路)?
什么是XXE漏洞?
CSRF漏洞的防御原理是什么?目前通用框架方案有哪些,以及有哪些需要注意的点?
越权漏洞如何检测?
给你一个公司,从零开始建设一个安全团队,你会考虑从哪些方面入手,短中长期计划是什么。如何量化与衡量你们安全体系的进步。
如果让你制定应急响应机制/体系,简要描述一下你的设计思路/方案。
请介绍你经历过的最严重的一次应用安全危机(可以隐去具体公司名),你和你们团队如何缓解/解决这个问题,你在这个事件中得到的教训是什么?
【可选 - 算法】给你全量URL日志,目标是做基于日志的黑盒扫描,谈谈你会采用什么方案对这些URL去重。(对这些URL的定义,分哪几类;去重采用什么算法和步骤。)