對於甲方來說,常見的Web攻擊有哪些防禦方法?
02-06
甲方一般採用什麼方式來防禦Web攻擊?
比如說如何防禦Xss,特別是domxss?然後如果是如何發現產品中的漏洞的?發現後又是如何處理的?
幾個方面吧:
1、理想化的情況下,安全團隊可以編寫代碼開發規範給開發部門或者外包開發商,規範裡面明確的對常見的web漏洞比如xss或者sqli進行說明,並給出正確的開發方案。在此基礎上,用管理手段確保開發規範得以實施。
2、建立內部的代碼版本管理系統,代碼版本更新的時候,用代碼審計的一些產品進行掃描,能夠在開發階段對漏洞起到一定的遏製作用。
3、然後就是上線前系統需要進行安全檢測,掃描啦滲透啦,包個眾測任務啦,必須保證發現的問題都整改完才能上線。
4、上線之後,系統應該是部署在一個現有的防禦體系之下的,比如網路策略啦,防火牆啦,waf啦,還有其他各類安全設備或者產品。
5、日誌分析這個東西嘛。什麼結合大數據啦,什麼結合機器學習啦,什麼結合威脅情報啦,我覺得思路是挺好的,實際落地需要的投入很大,難度不小,還是請大佬們來解說吧。
同意 @雲舒 說的幾點,但是基本只有在大的互聯網公司才有這樣的情況甚至部分互聯網公司想跨部門合作,或者安全部門有很強的話語權,這些事情都是安全以外的不可知情況。
估計問這個問題肯定沒有自己的安全部門,所以我建議購買相關的服務,WAF也好,加速也好
花的錢不會比組建自己的安全團隊更貴目前比較普通的都是見洞補洞,而且很多情況是「見poc補poc」
過濾特殊符號;盡量不要用開源前端;
定期打補丁;
做好密碼管理;做好人員審計;準備一個大帶寬以防DDOS對於web漏洞,還是發現了找廠商或者開發人員修復,沒有發現的,就等著被發現。還有就是不同行業的甲方,各不相同。
目前仍然處於「設備防護狀態」,並無在設計之初就將安全防禦思想或安全設計加入項目流程中,都是亡羊補牢模式。
甲方安全工作中心應該是在「面」的維度來進行安全工作,當然很多時候大家是在做「點」的工作。。
推薦閱讀:
※普通PC機遠程桌面控制家裡電腦的安全程度如何?
※實現電子遊戲ACE(Arbitrary Code Execution)的具體原理是什麼?
※一些牛逼的編程高手每天的生活是怎樣?
※怎麼看待頂級黑客凱文說的現在所有AI產品都是假的?
※勒索病毒是網路安全的轉折點還是360的事件營銷?