About FEI-FEI WU(FEEI)
君不见,黄河之水天上来,奔流到海不复回。
君不见,床头明镜悲白发,朝如青云暮成雪。
人生得意须尽欢,莫使金樽空对月。
天生吾徒有俊才,千金散尽还复来。
Hi, I’m Fei-Fei Wu(Feei), a cybersecurity researcher base in Hangzhou, China. I’m love my work and the city of Hangzhou deeply.
嗨,我是吴飞飞(Feei),是一名网络安全专家,工作和生活在杭州,我非常热爱我的工作以及杭州这座城市。
I’ve been interested in “Hacker” since childhood, it can give an ordinary person superpowers. Just like Elliot in Mr. Robot and Neo in The Matrix. When I was little, a company owed my family’s factory money, so my dad took their computer home as collateral. I clerly remember that, since we didn’t have broadband, I saved up money to buy a USB wireless network card from a computer store, put my mom’s SIM card in it, and used it to get online, speding several hundered on phone bills. From that computer with the bulky CRT screen, I started messing around. At first, I was addicted to games and began using cheats to hack them. I then tired to develop other game cheats using E-Yu language, and later learned Visual Basic language. Once I gained development skills, I started writing remote control software to prank my friends. I also began self-studying various hacker techniques, gradually stepping into the field of cybersecurity.
从小对“黑客”充满兴趣,这可能是为数不多能让一个普通人拥有超能力的路径之一,就像Mr.Robot中的Elliot和黑客帝国中的尼奥。在我上小学的时候,有个公司欠我家工厂钱,于是我爸把他们电脑搬回了家抵债。我还清楚的记得,因为没有宽带,我攒钱去电脑城买了一张无线网卡,把老妈的手机卡装进去上网,花了好几百块话费。 从那台带着大屁股屏幕的电脑开始折腾,最开始沉迷于游戏,开始使用外挂去游戏中作弊。并尝试使用易语言开发其它游戏外挂,后来又学习了Visual Bacsic语言,掌握了开发能力后,开始写远程控制软件去恶作剧朋友。并开始自学各种黑客知识,逐渐踏入了网络安全领域。
But my journey as a hacker hasn’t been smooth sailing. When I first started working, there weren’t many job opportunities in cybersecurity. At that time, I was sofeware development enginner, while spends all my free time to exploring the cybersecurity. I learned various explotation techniques on vulnerability platforms like WooYun and others. My programming skills set me apart from other hackers at the time, allowing me to better understand the explotation, discovery, and patching of vulnerabilities. I was also able to develop automated exploitation tools to discover vulnerabilities in bulk. This helped me advance ten pages in the WooYun platform ranking in just ten days, and I once gained control over a large number of top-tier internet companies in China.
但我的黑客之路并不是一帆风顺。刚工作那会,网络安全的岗位并不多,当时主要从事软件研发工作,同时几乎投入业余全部精力探索网络安全领域。在乌云等各种漏洞平台,学习各种漏洞利用方法,程序开发能力让我有别于当时其他的黑客,让我能够更深刻的理解漏洞的利用、挖掘以及修复,并能够开发各种自动化利用工具去批量发现漏洞,让我在乌云平台的排名十天前进十页,并曾经拿到过大量头部互联网企业的控制权限,安全实战攻击能力得以快速提升。
At the same time, during my time as a programmer, I began developing security products needed for business development, leveraging my understading of security. These included browser ActiveX security control based on digital certificates, real-name authentication systems, and jump servers. Later, I became the company’s first security engineer, marking the beginning of my journey in cybersecurity.
同时,在程序员工作期间,利用我对安全的了解,我也开始做起了业务发展所需要的安全产品。包括基于数字证书的安全控件、实名认证系统、跳板机。再到后来成为了公司第一名安全工程师,开始了我的网络安全之路。正式全职投入自己热爱的安全事业中。
During my time as a full-time cybersecurity engineer, I had two long-term work experiences, both involving the e-commerce, banking, and payment industries. These experiences were part of a progressive security developemnt process.
在全职网络安全工程师期间,主要有两段长周期的工作经历,涉及电商、银行、支付行业,且是逐步递进的安全建设。
During the first five years, I witnessed the complete security development process of an internet e-commerce company, from a startup to a NASDAQ company. I grew from the first security engineer to the head of security.During the second five years, I have been with MyBank(Ant Group), as an architect and backup security lead, I have been involved from the ground up in building the bank’s finacial-grade security team and system. I have deeply participated in the construction of multiple security areas for digital banking, leading efforts in application security, mobile security, infrastructure security, threat intelligence and incident response, and security product development teams. This has laid a solid foundation for establishing financial-grade security.
第一段的五年间见证了从创业公司到上市的互联网电商企业的完整安全建设过程,从第一位安全工程师成长为安全负责人。第二段的五年间至今,在网商银行(蚂蚁集团),作为架构师以及安全一号位Backup全程从零参与银行金融级安全团队及体系建设。深度参与了数字银行的多个安全方向的建设,从实线带应用安全,到带移动端安全、基础设施安全、威胁对抗、安全产品研发团队,为构建金融级安全树立了良好的基础。
I’m currently part to the security team at Alipay (Ant Group), which has a complex and massive financial technology business with sensitive data (billions of users) and large-scale financial transactions (trillions of RMB). As a result, there are inherently high demands for network security. The company invests billions annully in cybersecurity, and it has experts in various specialized security fields. Alipay offers compettive salary packages, ranging from several hundred thousand for campus recruits to several million for experienced hires, with smooth. career advancement opportunities.
我目前在支付宝(蚂蚁集团)安全团队,支付宝拥有数据敏感(十亿级)和资金密集(万亿级)的复杂且庞大(十万级并发/百万级机器)金融科技业务,天然对网络安全有极高的要求。每年在网络安全上的投入以亿计,拥有各细分领域安全专家。有竞争力的薪资待遇,从校招数十万到社招数百万年薪,顺畅的上升通道!
Here, we are dedicated to building a word-class security system, creating security concepts, practices, products, and vulnerabilities that benefit the industry. If you are passionate about making a change in the security industry, we welcome you to join us!
在这里我们致力于打造国际一流的安全体系,创造对行业有益的安全理念、安全实践、安全产品以及漏洞等。如果你也有为安全行业创造一些变化的热情,欢迎加入我们!
If you’d like to learn more about me, you can find additional details about my experiences in “Stand out in the sea of resumes“.
如果你还希望对我有更多了解,可以在“在海量简历中脱颖而出”中找到更多关于我的经历。
Speech(演讲)
- 2023/11/27,上海,EISS2023(企业信息安全峰会),基于原生安全范式构建可信纵深防御体系
- 2022/08/19,上海,BDIE2022(亚太银行数字化创新峰会),银行数字化转型安全挑战应对探索
- 2019/11/22,上海,EISS2019(企业信息安全峰会),关于云安全的一些思考·圆桌
- 2019/10/22,成都,INSEC World(世界信息安全大会),互联网银行安全建设实践
- 2019/05/29,上海,2019补天白帽大会,关基的攻防演练和安全体系建设·圆桌
- 2019/03/22,上海,2019首席信息安全官年会,人机识别的最新实践
- 2018/11/30,上海,EISS2018(企业信息安全峰会),蘑菇街人机识别体系实践
- 2018/09/19,西安,SSC2018,一种去除密码的安全实践
- 2018/01/26,杭州,安全+沙龙,GitHub敏感信息泄露监控
- 2017/11/24,上海,EISS2017(企业信息安全峰会),企业安全架构实践
- 2017/04/16,北京,QCon2017(全球软件开发大会),企业静态代码扫描
Publication(出版物)
《网络安全面试指南》
多年来筛选了数以千计的简历,为什么很多人连面试机会都没有?参与了数以百计应聘者的面试,为何如此多的人没有通过最终面试?在面试过程中,能力固然重要,但我也见过许多能力不亚于已经入职同事的人却未能成功应聘。那么,如何才能在面试中顺利通过呢?
本指南旨在为网络信息安全领域从业者提供一份全面的面试指南。我将从行业、企业和从业者的角度来介绍当前情况,分享面试和招聘经验。指南将围绕各个细分安全领域的体系、实用且高质量的题库和思路提示展开,以便你能够更加全面系统地理解和吸收各种经验。
《金融级IT架构:数字银行的云原生架构解密》
网商银行技术团队出品
《安全平行切面:数字数代的原生安全架构》
蚂蚁集团安全团队出品
《数字银行可信纵深防御》
网商银行安全团队出品
《数字银行安全体系构建》
网商银行安全团队出品
About FEEI.CN
About Cybersecurity Content
本站涵盖了网络安全(应用/移动端/云/基础设施/情报/威胁对抗)、数据安全与隐私保护、AI安全等领域的深度内容,涉及漏洞挖掘、红蓝实战演练、安全产品研发、企业安全建设、安全团队管理等多个方面。安全是个跨学科的专业,对知识面要求极广。通过Security PPT学习了上万份各个企业、安全会议的专家们分享的安全经验,以及从各类安全书籍、白皮书以及与各个专家的探讨交流,并结合自己多年在网络安全方面积累的经验。沉淀一份网络安全知识。包括从面试、安全团队管理到安全体系建设的方方面面的实践经验。
Open(公开)
安全是奢侈的,安全的经验是昂贵的,但安全不应该靠神秘维持。从行业角度来看,网络安全对于大部分企业来说是奢侈的,多数企业仅能够投入有限的资源进行建设。由于攻防不对等以及威胁对抗技术的持续升级,导致我们无法使用一套固有的方案去长期应对所有风险,因此获得业界最新的安全理念、安全架构、安全技术以及安全实践对于提升网络安全防御水位至关重要。然而,在当前这并不是很容易实现,虽然能看到大量的安全书籍、安全分享,但都是单点的、细节的以及不及时的。对于多数企业来说,核心安全技术很难被公开。但我认为安全不应该是封闭的,不应该依靠神秘感去打造高端形象,应该是开放共享的,并持续保持迭代优化。只有如此,才能让我们立于不败之地。这就是推动我投入时间精力维护这个站点的初衷,希望能让安全知识普惠,让每一个从业者都能低成本获得最新的安全知识。
Up-to-date(持续更新)
语雀非常适合作为体系化知识管理,但并不适合作为博客。作为在公司每天都需要使用的软件,语雀确实非常适合我,优秀的编辑器体验、简洁的外观以及方便的多人协作,树形知识库更加适合知识类型的沉淀。我也使用了好几年,但最终还是回到了Wordpress。首先不支持自定义域名,导致在SEO上很吃亏,自然流量很少。自定义程度还是比较低,比如希望有一些特别的组件或者交互形式都无法实现。因为知识体系是需要不断更新的,微信公众号的文章发布后是无法进行大改动的。成熟的才是最好的,大多数人选择的不会走弯路。和大多数人一样,建博客那些事就是一部血泪史,从最初的自己搭建、到后面的公共博客、再到基于GitHub托管,建了停停了建,也不知道是什么支撑着自己,如果减肥有这样的坚持就好了。只有都试过才知道哪个是最好的。博客是写文字的地方,所以这件事的核心是写文字和被浏览。写文字的核心是编辑器要方便、要能随时编写发布、能处理图片视频,而被浏览最关键的是要符合自己审美、大家打开速度快浏览舒服。作为技术人员对Markdown的那点坚持,总想有点技术性,写篇文章需要在本地客户端写好,把文章和图片上传到GitHub等待生成静态页面,确实不用自己搭服务器考虑稳定性问题,用Markdown写文章也确实挺好的,但真麻烦。最终回到了原点WordPress,打动我的是在Themeforest中WordPress有一个独立的菜单,里面有被大量售卖的模版,而其它CMS都在CMS一个菜单下,侧面反应了WordPress生态的成熟度。因此我挑选了一个博客模版,以前总是有点技术相轻的思想,一个模版卖几百块太贵了吧,以前自己尝试过扒一扒改改就可以自己使用了。有点类似软件的破解,钱是省了但带来但问题也很明显,他后续但迭代更新你都无法直接应用,你需要持续不断的跟进维护,这成本非常的高。不破解自己去买的话,被国内的破解产业搞的每个人潜意识就认为软件是不应该要钱的,要么破解要么靠广告或增值服务来赚钱,导致我们看到一个好软件最先想到的不是购买它而是找破解版,自己也写过很多年软件,很清楚专业和业余的差距。设计、交互、兼容性、安全、代码质量、可配置化等等,一个模版迭代了几年其中解决了多少小问题做了多少优化,再想想只卖几百块是不是很便宜了。就和一个日历软件一样,macOS中的日历可能有几十号优秀工程师维护,而各种市场上的日历可能是某个三人工作室的N个软件中的一个,短期表面使用起来可能还真体会不到区别,时间长了就会知道了。一个模版、一个软件都如此,WordPress的成熟就更显著了,在博客市场做了这么多年,你不需要担心需要自己去改造他,你将来会遇到的所有问题他都遇到并解决过,而且还有非常丰富的插件市场能让你轻松搞定SEO、表单、代码高亮、图片优化、社交分享甚至SSL。
Structured(结构化)
为了自己去体系沉淀网络安全知识。如果你问我,工作这么多年在网络安全上沉淀了什么经验?我很难回答这个问题。当我意识到这个问题时,我希望做出一些改变,把我脑海中的知识变成网站知识库中的知识,我发现在这个过程中能够让我更加体系结构化、深入地去思考那些曾经模糊的知识,并通过自己的思维和语言去通俗易懂写出来,并持续不断补充完善每一个节点,保持内容始终最新可用,就像是作为一个园丁维护一个数字花园。这是一个长期的事情,也许这辈子我都会维护。哪怕没有人看也没关系,至少对于我来说是有用的,这就足够了。如果能帮到一些人,那就纯属超预期了。
Unity of knowledge and practice(知行合一)
实践过安全细节才能做好安全战略。作为安全管理者,仅仅停留在知道层面是无法真正建设好安全的,必须对每一部分有过实践才能抓住重点,才能更好的去解决对应风险,去设计切实有效的安全战略。你查到的知识和你的知识之间有巨大鸿沟,AI时代下也需要沉淀自己知识。你虽然能够通过AI查到大部分你想要的信息,但AI的信息和你的知识之间存在巨大鸿沟,就像是知道和做到一样。只有自己经历过的,甚至能传授给别人的知识才是属于自己的知识,正所谓知是行之始,行是知之城。我的个性数据(与众不同的媒体文件、观点、经验与思考)、情感表达(自己的故事与情感)、严谨的深度内容、传播影响、创意、及时性的观点,都是AI目前无法替代的。我更希望将这个站点内容打造成AI大模型可外挂的专业向量知识数据库。
中英双语主要为了提升我自己英语水平。网站中英双语,并不是为了方便母语非英语者阅读,纯粹是为了提升我自己的英语水平。而提升自己的英语水平则是为了看见世界一手信息。从利己角度,这也更加容易坚持下去。
About FEEI.CN’s Cybersecurity
| Layer | Threat | Protective Measures |
|---|---|---|
| Network | DDoS/CC | Set DNS record to gov site |
| MITM | HTTPS(SSLLabs Test Score A+); HSTS; HSTS Preload | |
| Application | XSS | Security Header(CSP/X-XSS-Protection) |
| iFrame | Security Header(X-Frame-Options) | |
| MIME Sniffing | Security Header(X-Content-Type-Options) | |
| Fronted Backdoor | Security Header(Permissions-Policy) | |
| SQLi | Change Database Prefix; No sensitive data; | |
| Brute-force login accound | Custom username; Strong password; | |
| Sensitive data leakge | DEBUG False; Disable PHP Error; Hidden PHP/Wordpress/Nginx Version; Automatic IP Blocking Vulnerability Detection | |
| Trojan/Mining/Webshell | DISALLOW_FILE_EDIT; Separate user group for static/php files, read-only permissions, no write access except in upload directory; | |
| 0day | Separate user WP-CLI mode for automatic updates of Core/Plugin/Theme to latest version; inotify www directory; Automatic IP Blocking When Web attack; | |
| Ransomware | Daily Backup of files and database to remote server; Daily backup of ECS Image; | |
| Server | Service Brute-force/Vulnerability | Only 80/443 ports opened; Automatic IP Blocking When Port Scan; Private IP Login with Key; Outbound Internet Access Restriction; |
About FEEI.CN’s Speed
| Layer | Items | Company | Config/Version | Result |
|---|---|---|---|---|
| Network | DNS | DNSPod | <60ms | |
| VPS | Aliyun | 4M, Hangzhou(South) + Beijing(North) | <15ms | |
| CDN | – | – | – | |
| Base Application | Blog Software | WordPress | Automatic Update | |
| Web Server | Nginx | 1.20.1+HTTP2 | ||
| Program Language | PHP | 8.0.30+OPCache+FastCGI Cache | ||
| Software Application | Theme | Typology | Text based with no image required | |
| Text | Lighthouse | / | ||
| Compression/Text | Minify | / | ||
| Compression/Image | Webp | / | ||
| Compression/Transmission | GZip | All file type | ||
| Async/Text | async | Statis files | ||
| Async/Media | Lazy Load | / | ||
| Cache/Browser | HTTP Cache | no-cache | ||
| Cache/Application | FILE Cache | Page/Post | ||
| Cache/Database | Redis | 3.2.12 | ||
| Other/URL Redirect | / | 0 | ||
| Other/Other domains resources | / | 0 | ||
| Speed Test | PageSpeed Insights(Lighthouse) | Performance Score | 100 | |
| Pingdom | Performance Score | 94 |
歌单: 周杰伦
后来 - 刘若英
黄昏 - 周传雄
房间 - 刘瑞琦
青花 - 周传雄
勇气 - 梁静茹
宁夏 - 梁静茹
泡沫 - 邓紫棋
城府 - 许嵩
素颜 - 许嵩
幻听 - 许嵩
花海 - 周杰伦
夜曲 - 周杰伦
退后 - 周杰伦
外婆 - 周杰伦
起风了 - 买辣椒也用券
春庭雪 - 等什么君
七里香 - 周杰伦
猜不透 - 丁当
不怪她 - 马思唯
忽然之间 - 莫文蔚
千里之外 - 周杰伦
我们的歌 - 王力宏
个人简介 - 安全着陆
有何不可 - 许嵩
孤单心事 - 蓝又时
我欲乘风 - 安全着落
回到过去 - 周杰伦
回到未来 - Double Zhuo & Tizzy T
电台情歌 - 莫文蔚
清明雨上 - 许嵩
需要人陪 - 王力宏
灰色头像 - 许嵩
纸短情长 - 烟把儿
一生所爱 - 卢冠廷&莫文蔚
平凡之路 - 后会无期
盛夏的果实 - 莫文蔚
小手拉大手 - 梁静茹
每个人都会 - 方大同
听妈妈的话 - 周杰伦
红色高跟鞋 - 蔡健雅
多余的解释 - 许嵩
最好的安排 - 曲婉婷
爱就一个字 - 张信哲
可惜不是你 - 梁静茹
会呼吸的痛 - 梁静茹
玫瑰花的葬礼 - 许嵩
有没有人告诉你 - 陈楚生
给我一首歌的时间 - 周杰伦
总有一天你会在我身边 - 棱境
Time - 小青龙 & 辉子
Free Loop - Daniel Powter
SeeYouAgain - Wiz Khalifa&Charlie Puth
Jar of Love - 曲婉婷
Welcome to New York - Taylor Swift
童年 - 张艾嘉
此生不换 - 青鸟飞鱼
三葉のテーマ - RADWIMPS
夢灯籠 - RADWIMPS
愛にできることはまだあるかい - RADWIMPS
いつも何度でも - 宗次郎
红色石头 - 李智楠
逍遥叹 - 胡歌
漫步人生路 - 邓丽君
最远的你是我最近的爱 - 车继铃
铁血丹心 - 罗文,甄妮