应用程序安全面试问题与答案 本文档旨在帮助安全人员准备常见的安全面试问题和解答。 许多材料只包含问题，而没有答案。 因此，我将资源汇总在一起。 代码审查部分对于进行代码审查的人特别有用，而不仅仅是准备面试。 回购协议分为几个部分，重点放在以下不同领域： 基本安全问题 代码审查问题 编码问题 AWS安全问题 非技术/领导力面试问题

1.布利斯基 Blisqy是一种工具，可以帮助Web安全研究人员在HTTP标头上找到基于时间的盲SQL注入，并利用该漏洞。 该漏洞利用对可打印ASCII字符的按位操作（通过盲SQL注入）实现了从数据库（目前仅支持MySQL / MariaDB）缓慢的数据虹吸。 为了与其他Python工具互操作，并使其他用户能够使用Blisqy中提供的功能，可以将此处的模块导入其他基于Python的脚本中。 在测试基于时间的盲SQL注入时，任何网络延迟或拥塞都可能影响您的模糊测试或漏洞利用的有效性。 为了补偿可能导致延迟的网络延迟和不确定性，Blisqy时间比较是动态的，并且在运行时针对每个测试进行计算。 该测试利用greenlet （ greenlet合作调度执行单元）在libevevent循环之上提供了高级同步API。 它提供了一种在短时间内执行有效负载测试的快速有效的方法，而且，一个特定的测试不应影响另一个，因为它们不能以顺序方法完全完成。 1.1。 新的功能） Blisqy现在支持对HTTP标头上的基于时间的盲SQL注入进行模糊测试，并且将主要功能（模糊测试和利用）分离到独立文件中以实现