對於甲方來說，常見的Web攻擊有哪些防禦方法？

02-06

甲方一般採用什麼方式來防禦Web攻擊？
比如說如何防禦Xss，特別是domxss？
然後如果是如何發現產品中的漏洞的？

發現後又是如何處理的？

幾個方面吧：

1、理想化的情況下，安全團隊可以編寫代碼開發規範給開發部門或者外包開發商，規範裡面明確的對常見的web漏洞比如xss或者sqli進行說明，並給出正確的開發方案。在此基礎上，用管理手段確保開發規範得以實施。

2、建立內部的代碼版本管理系統，代碼版本更新的時候，用代碼審計的一些產品進行掃描，能夠在開發階段對漏洞起到一定的遏製作用。

3、然後就是上線前系統需要進行安全檢測，掃描啦滲透啦，包個眾測任務啦，必須保證發現的問題都整改完才能上線。

4、上線之後，系統應該是部署在一個現有的防禦體系之下的，比如網路策略啦，防火牆啦，waf啦，還有其他各類安全設備或者產品。

5、日誌分析這個東西嘛。什麼結合大數據啦，什麼結合機器學習啦，什麼結合威脅情報啦，我覺得思路是挺好的，實際落地需要的投入很大，難度不小，還是請大佬們來解說吧。

同意 @雲舒說的幾點，但是基本只有在大的互聯網公司才有這樣的情況

甚至部分互聯網公司想跨部門合作，或者安全部門有很強的話語權，這些事情都是安全以外的不可知情況。

估計問這個問題肯定沒有自己的安全部門，所以我建議購買相關的服務，WAF也好，加速也好

花的錢不會比組建自己的安全團隊更貴

目前比較普通的都是見洞補洞，而且很多情況是「見poc補poc」

過濾特殊符號；

盡量不要用開源前端；

定期打補丁；

做好密碼管理；

做好人員審計；

準備一個大帶寬以防DDOS

對於web漏洞，還是發現了找廠商或者開發人員修復，沒有發現的，就等著被發現。還有就是不同行業的甲方，各不相同。

目前仍然處於「設備防護狀態」，並無在設計之初就將安全防禦思想或安全設計加入項目流程中,都是亡羊補牢模式。

甲方安全工作中心應該是在「面」的維度來進行安全工作，當然很多時候大家是在做「點」的工作。。