Какие пять вопросов можно задать (senior) реверс-инженеру мобильных приложений?

Question

[Mirue]

Поставили передо мной задачу найти нам реверс-инженера мобильных приложений.
Найти то не очень просто, а уж собеседовать... А тут тех.лид ушел в запой и не отвечает. А разгребать кому?

К моему величайшему сожалению, на запрос в гугл "топ-5 вопросов для реверс инженера мобилок" мне демонстрируется детородный орган из ссылок на "как стать реверс-инженером" и всё прочее. Мои дорогие коллеги хотели бы помочь, да профиль не их.
Задавать стандартные вопросы, как просто разработчикам мобильных приложений - кажется не оч некорректным.

В требованиях вакансии указаны: знание архитектуры Android и ios; sast, dast, iast, java, swift, kotlin, python, c/c++, шифрование, обфускация для мобильных платформ, опыт работы с Wireshark, SSL Pinning)

Ответы на какие пять вопросов я могу записать в видео и показать тех.лиду после того, как он выйдет из запоя?

Comments

[Max]

Какие пять вопросов можно задать (senior) реверс-инженеру мобильных приложений?

Почему только пять?

[Mirue]

Maxim Siomin, дабы не надоедать соискателю вопросами от человека, который конкретно в сфере реверса не очень компетентен. Смысл сидеть с псевдо-умным лицом больше пяти вопросов?:3

Answer 1

[Dimonchik]

1) последняя версия burp suite
2) какие mitm proxy использовал и как маскировал
3) как работает sslstrip
*
PROFIT!!!

Comments

[Mirue]

Надеюсь, тут нет никакого коварного подвоха :) Если так, то огромное спасибо!

[Dimonchik]

подвоха нет, но хорошо бы знать ответы и почему ))

[Mirue]

dimonchik2013, всё, что мне остается, это передать видео с ответами нашему тех.лиду, когда он вынырнет со дна бутылки :D
Даже если Вы поделитесь со мной ответами, вряд ли это поможет :)

[Денис Юрьев]

Mirue, вы понимаете, что кандидаты могут найти этот вопрос и в будущем всплывет, в какой конторе техлид алкаш?

[12rbah]

Денис Юрьев, может перестанет после этого

[Mirue]

Денис Юрьев, о не-е-е-ет.

:Р

Answer 2

[Saboteur]

Задавать стандартные вопросы, как просто разработчикам мобильных приложений - кажется не оч некорректным.

Вполне корректно, реверс инженер обязан быть хорошим разработчиком, с углубленным пониманием архитектуры платформы и отладкой.

Ну а без технического специалиста, видео ответов не самая хорошая вещь. Ибо по ответам хороший специалист сразу понимает какой дополнительный вопрос задать, чтобы убедиться, что кандидат понимает о чем говорит.

Comments

[Mirue]

Спасибо большое за комментарий! Да, я понимаю, что без тех.специалиста никуда, но что поделать, если твой специалист где-то помер, а офигенного соискателя упускать не хочется?

[Saboteur]

Ну можно заплатить деньги первому попавшемуся специалисту, чтобы он поприсутствовал при собеседовании и потом написал вам технический фидбек детальный (10-15 предложений)
А так - все таки разработчиком он быть обязан, думаю сеньор разработчик вполне может прособеседовать на достаточном уровне.

Answer 3

[calculator212]

Как вариант почитайте статью https://habr.com/ru/company/kaspersky/blog/203228/.
Но если в реверсе никто ничего не понимает, то вы не сможете адекватно проверить человека по нескольким вопросам, тем более как вы заметили область специфическая.

java, swift, kotlin, python, c/c++

Вот вы правда думаете, что кто-то реально использует столько языков? Лучше будет разделить на языки, которые являются основным инструментом и вспомогательным, т.к. кто-то имел опыт со всеми этими языками, но на одном писал 10 лет в прод, а другой поковырял пару раз дома на выходных.

Comments

[Mirue]

Поверьте, требования выдвигаемы не мною.
Большое спасибо за ссылку, было интересно почитать :)

[calculator212]

Mirue,

Поверьте, требования выдвигаемы не мною.

не мое дело наверное, но можете почитать как многие реагируют на, когда видят 5-10 языков в требованиях, после этого количество людей серьезно воспринимающих вакансию уменьшится. Как вариант поговорить с человеком, который это выдвинул и попросить подредактировать и выделить основные и второстепенные языки.