安全工程

安全常常给人一种神秘感，甚至有很多从业者通过保持神秘来彰显自己的能力。人类天生对未知充满崇拜，就像魔术一样，眼前发生的惊奇让人感到震撼。直到揭开真相，才发现原来并没有想象中的那么复杂。

回想起自己的安全之路，如果说成长最快的一段经历，莫过于当年的乌云漏洞平台。那时，在平台上我可以看白帽子提交的各个企业真实存在的漏洞，他们凭借奇思妙想把看似毫无关联的风险点串联起来，成功地实现了对各大企业内网的渗透，轻松访问各种敏感数据。那时的我不断地从这些公开的内容中学习了大量攻击技巧，能力得到快速提升。自己也实现了在网络世界中随意穿梭，像一个普通人拥有了超能力。

后来从白帽子一路见证电商公司从独角兽到上市的安全历程，再到银行见证了金融安全，再到头部支付机构见识了高等级高强度对抗。过程中，大部分事情没有学习的地方，都是自己摸索出来的，走了很多弯路，交了昂贵的学费。在攻防不对等以及攻防技术不断升级，叠加多数企业只有有限资源进行安全建设，因此获得历史安全经验和最新的安全理念/架构/技术和实践至关重要。但这并不容易实现，书籍的滞后性、会议分享的不深入、文章的单点，头部安全团队闭口不谈。

同时，工作这么多年，你问我在网络空间安全^注1上沉淀了什么经验？我很难回答清楚。

我的经验告诉我，靠隐藏安全怎么做的并不能提升安全水位，只有不断了解攻击和防守的信息并持续迭代创新才能始终立于不败之地。当我意识到这个问题后，我希望做出一些改变。把握脑海中的知识经验变成文字，更加体系结构化的去整理和思考这些经验，并通过自己的思维和语言通俗易懂写出来，并不断完善补充，保持内容始终最新可用，就像是作为一个园丁维护自己的数字花园。这就是本文《高等级网络空间安全体系》^注2的初衷，我想通过开放、互动交流以及快速迭代优化来让我们立于不败之地。

如果对正在看本文的你有一点启示，我将不胜荣幸。

这就是本文初衷，希望能为网络空间安全行业做一些微小的贡献。

内容结构

网络空间安全内容最终收敛为三个主类。 安全威胁回答系统怎么被突破，安全组织回答如何让安全成为组织能力，安全体系回答可信系统如何构建并持续运行。

下面索引按当前实际目录组织。目录名链接到该目录入口页，子项链接到具体内容。

• 01-安全威胁
  • 01-历史攻击事件
    • 三角测量行动
    • 全球数据泄漏列表
    • 历史网络安全事件汇总
    • 反击HackingTeam
    • 如何在网络上抢银行
    • 某云平台GitHub泄漏GetShell
    • 某建站厂商SQL注入
    • 某社交平台SSRF到GetShell
    • 某站点GetShell
    • equifax数据泄露
    • 某CMS任意文件上传
    • 某平台SQL注入
  • 02-攻击技术
    • CSRF
    • Flask安全利用
    • IoT安全
    • SQL注入
    • URL跳转
    • XSS跨站脚本
    • 中间人劫持
    • 任意文件上传
    • 任意文件读取
    • 侧信道安全
    • 命令执行
    • 弱口令
    • 拒绝服务
    • 敏感信息泄露
    • 文件包含
    • 未授权访问
    • 洗钱
    • 登录账号密码劫持
    • 逻辑缺陷
    • 配置不当
    • GitHub-PR逻辑风险
    • SSRF
    • 图片EXIF信息
    • 手机SIM卡复制
    • 枚举子域名
    • 正则安全
    • 电子邮件伪造
    • 短信嗅探
• 02-安全组织
  • 网络安全面试指南
    • 01-应聘者指南
      • 01-理解行业
      • 02-如何选择公司
      • 03-必备素质
      • 04-能力分层
      • 05-如何写好简历
      • 06-面试经验与技巧
      • 07-薪资谈判与offer决策
    • 02-面试官指南
      • 01-招聘现状与渠道
      • 03-面试流程与注意项
      • 04-面试官的判断力
    • 03-面试题库
      • 01-渗透测试面试题目
      • 03-安全研发面试题目
      • 04-数据安全面试题目
      • 05-安全合规面试题目
      • 06-基础设施安全面试题目
      • 07-安全蓝军红队面试题目
      • 08-威胁感知与响应面试题目
      • 09-AI安全面试题目
      • 10-安全管理面试题目
      • 02-应用安全面试题目
• 03-安全体系
  • 03-安全合法合规
    • 个人信息保护合规审计管理办法
    • 个人信息保护法
    • 个人信息出境标准合同办法
    • 个人信息出境认证办法
    • 互联网信息服务深度合成管理规定
    • 互联网信息服务算法推荐管理规定
    • 互联网信息服务管理办法
    • 人工智能生成合成内容标识办法
    • 人民银行数据安全管理办法
    • 人民银行网络安全事件报告管理办法
    • 促进和规范数据跨境流动规定
    • 关键信息基础设施安全保护条例
    • 反电信网络诈骗法
    • 商业银行信息科技风险管理指引
    • 国家安全法
    • 密码法
    • 常见类型App必要个人信息范围规定
    • 数据出境安全评估办法
    • 数据安全法
    • 未成年人网络保护条例
    • 汽车数据安全管理若干规定
    • 生成式人工智能服务管理暂行办法
    • 移动互联网应用程序信息服务管理规定
    • 网络产品安全漏洞管理规定
    • 网络信息内容生态治理规定
    • 网络安全事件报告管理办法
    • 网络安全审查办法
    • 网络安全法
    • 网络数据安全管理条例
    • 银保监会数据安全管理办法
    • 银行保险机构数据安全管理办法
  • 04-风险发现治理
    • GitHub敏感信息泄漏监控
    • 企业级代码安全最佳实践
    • 基于甲方视角的漏洞发现
    • 收集扫描规则的方法
    • 研发安全检查项
  • 05-风险防御对抗
    • API安全
    • 办公安全
    • 加密资源ID缓解越权影响
    • 安全平行切面
    • 密码安全实践
    • 数智时代支付新安全
    • 电子邮件安全实践
    • 员工侧安全一站式解决方案
  • 06-安全实战检验
    • 向科技拓荒者致敬
    • 正确认识实战演练的价值
  • 07-安全框架研究
    • C-RAF框架
    • 重写规则
    • building-a-trusted-in-depth-defense-system-based-on-native-security-paradigm
    • digital-bank-cybersecurity-system-construction
  • AI安全
    • 基于AI驱动的实战网络攻击

---

• 注1：网络空间安全指发生在网络世界中的安全风险，包括通过网络攻击、欺诈、洗钱、作弊等手段，实现窃取敏感权限、数据、资金等，导致业务连续性、用户信任、监管处罚等风险。
• 注2：本文主要以支付宝、蚂蚁集团、阿里巴巴、网商银行、蘑菇街等企业安全工作经验为背景，原始主体内容已经过对外输出审批，在各场合已公开演讲过，未包含任何内部敏感信息。如发现本文任何错误，都是我个人错误，和所在公司无关，恳请指正！

Feei 于2018年12月 深圳TSRC峰会回杭州的飞机上