對於甲方來說,常見的Web攻擊有哪些防禦方法?

甲方一般採用什麼方式來防禦Web攻擊?

比如說如何防禦Xss,特別是domxss?

然後如果是如何發現產品中的漏洞的?

發現後又是如何處理的?


幾個方面吧:

1、理想化的情況下,安全團隊可以編寫代碼開發規範給開發部門或者外包開發商,規範裡面明確的對常見的web漏洞比如xss或者sqli進行說明,並給出正確的開發方案。在此基礎上,用管理手段確保開發規範得以實施。

2、建立內部的代碼版本管理系統,代碼版本更新的時候,用代碼審計的一些產品進行掃描,能夠在開發階段對漏洞起到一定的遏製作用。

3、然後就是上線前系統需要進行安全檢測,掃描啦滲透啦,包個眾測任務啦,必須保證發現的問題都整改完才能上線。

4、上線之後,系統應該是部署在一個現有的防禦體系之下的,比如網路策略啦,防火牆啦,waf啦,還有其他各類安全設備或者產品。

5、日誌分析這個東西嘛。什麼結合大數據啦,什麼結合機器學習啦,什麼結合威脅情報啦,我覺得思路是挺好的,實際落地需要的投入很大,難度不小,還是請大佬們來解說吧。


同意 @雲舒 說的幾點,但是基本只有在大的互聯網公司才有這樣的情況

甚至部分互聯網公司想跨部門合作,或者安全部門有很強的話語權,這些事情都是安全以外的不可知情況。

估計問這個問題肯定沒有自己的安全部門,所以我建議購買相關的服務,WAF也好,加速也好

花的錢不會比組建自己的安全團隊更貴


目前比較普通的都是見洞補洞,而且很多情況是「見poc補poc」


過濾特殊符號;

盡量不要用開源前端;

定期打補丁;

做好密碼管理;

做好人員審計;

準備一個大帶寬以防DDOS


對於web漏洞,還是發現了找廠商或者開發人員修復,沒有發現的,就等著被發現。還有就是不同行業的甲方,各不相同。


目前仍然處於「設備防護狀態」,並無在設計之初就將安全防禦思想或安全設計加入項目流程中,都是亡羊補牢模式。


甲方安全工作中心應該是在「面」的維度來進行安全工作,當然很多時候大家是在做「點」的工作。。


推薦閱讀:

普通PC機遠程桌面控制家裡電腦的安全程度如何?
實現電子遊戲ACE(Arbitrary Code Execution)的具體原理是什麼?
一些牛逼的編程高手每天的生活是怎樣?
怎麼看待頂級黑客凱文說的現在所有AI產品都是假的?
勒索病毒是網路安全的轉折點還是360的事件營銷?

TAG:網路安全 | 黑客Hacker | 信息安全 | 網路攻擊 | XSS |