web應(yīng)用安全不是到最后才進(jìn)行的。在前期方案設(shè)計(jì)階段就需要介入，貫穿軟件系統(tǒng)的整個(gè)生命周期。在測(cè)試階段進(jìn)行的安全檢測(cè)包括sql注入、跨站腳本、越權(quán)訪問(wèn)、敏感數(shù)據(jù)是否加密等，內(nèi)容相當(dāng)多。可使用自動(dòng)化漏洞掃描工具結(jié)合人工的方式。信息安全等級(jí)較高的企業(yè)有自己的信息安全團(tuán)隊(duì)，比如銀行。信息安全等級(jí)一般的企業(yè)為了節(jié)約成本，采用外包或眾包的方式。啟明星辰、360、烏云、漏洞盒子這些可以看看。