关于

关于FEEI/吴飞飞

君不见，黄河之水天上来，奔流到海不复回。
君不见，床头明镜悲白发，朝如青云暮成雪。
人生得意须尽欢，莫使金樽空对月。
天生吾徒有俊才，千金散尽还复来。

嗨，我是吴飞飞（Feei），是一名网络安全专家，工作和生活在杭州，我非常热爱我的工作以及杭州这座城市。

本站涵盖了网络安全（应用/移动端/云/基础设施/情报/威胁对抗）、数据安全与隐私保护、AI安全等领域的深度内容，涉及漏洞挖掘、红蓝实战演练、安全产品研发、企业安全建设、安全团队管理等多个方面。

从小对“黑客”充满兴趣，这可能是为数不多能让一个普通人拥有超能力的路径之一。刚工作那会，网络安全的岗位并不多，当时主要从事软件研发工作，同时几乎投入业余全部精力探索网络安全领域。后来，全职进入网络安全领域。在前五年间见证了从创业公司到上市的互联网电商企业的完整安全建设过程。中间四年，深度参与了数字银行的多个安全方向的建设，为金融级安全树立了良好的基础。如今，在支付宝（蚂蚁集团），这里有天然强安全属性的海量业务，有各细分领域安全专家。致力于打造国际一流的安全体系，创造对行业有益的安全理念、安全实践、安全产品以及漏洞等。如果你也有为安全行业创造一些变化的热情，欢迎加入我们！

从行业角度来看，网络安全对于大部分企业来说是奢侈的，多数企业仅能够投入有限的资源进行建设。由于攻防不对等以及威胁对抗技术的持续升级，导致我们无法使用一套固有的方案去长期应对所有风险，因此获得业界最新的安全理念、安全架构、安全技术以及安全实践对于提升网络安全防御水位至关重要。然而，在当前这并不是很容易实现，虽然能看到大量的安全书籍、安全分享，但都是单点的、细节的以及不及时的。对于多数企业来说，核心安全技术很难被公开。但我认为安全不应该是封闭的，不应该依靠神秘感去打造高端形象，应该是开放共享的，并持续保持迭代优化。只有如此，才能让我们立于不败之地。这就是推动我投入时间精力维护这个站点的初衷，希望能让安全知识普惠，让每一个从业者都能低成本获得最新的安全知识。

通过Security PPT学习了上万份各个企业、安全会议的专家们分享的安全经验，以及从各类安全书籍、白皮书以及与各个专家的探讨交流，并结合自己多年在网络安全方面积累的经验。沉淀一份网络安全知识。包括从面试、安全团队管理到安全体系建设的方方面面的实践经验。

安全知识应该是结构化并持续更新的，而非是一篇篇固定时间点的文章。但结构化的内容依赖于一篇篇单点内容的累积，因此在这里我会持续积累单点内容，逐渐完善全貌。

演讲

2023/11/27，上海，EISS2023（企业信息安全峰会），基于原生安全范式构建可信纵深防御体系
2022/08/19，上海，BDIE2022（亚太银行数字化创新峰会），银行数字化转型安全挑战应对探索
2019/11/22，上海，EISS2019（企业信息安全峰会），关于云安全的一些思考·圆桌
2019/10/22，成都，INSEC World（世界信息安全大会），互联网银行安全建设实践
2019/05/29，上海，2019补天白帽大会，关基的攻防演练和安全体系建设·圆桌
2019/03/22，上海，2019首席信息安全官年会，人机识别的最新实践
2018/11/30，上海，EISS2018（企业信息安全峰会），蘑菇街人机识别体系实践
2018/09/19，西安，SSC2018，一种去除密码的安全实践
2018/01/26，杭州，安全+沙龙，GitHub敏感信息泄露监控
2017/11/24，上海，EISS2017（企业信息安全峰会），企业安全架构实践
2017/04/16，北京，QCon2017（全球软件开发大会），企业静态代码扫描

出版物

《网络安全面试指南》

多年来筛选了数以千计的简历，为什么很多人连面试机会都没有？参与了数以百计应聘者的面试，为何如此多的人没有通过最终面试？在面试过程中，能力固然重要，但我也见过许多能力不亚于已经入职同事的人却未能成功应聘。那么，如何才能在面试中顺利通过呢？

本指南旨在为网络信息安全领域从业者提供一份全面的面试指南。我将从行业、企业和从业者的角度来介绍当前情况，分享面试和招聘经验。指南将围绕各个细分安全领域的体系、实用且高质量的题库和思路提示展开，以便你能够更加全面系统地理解和吸收各种经验。

在线阅读

《金融级IT架构：数字银行的云原生架构解密》

网商银行技术团队出品

在线购买

《安全平行切面：数字数代的原生安全架构》

蚂蚁集团安全团队出品

在线阅读

《数字银行可信纵深防御》

网商银行安全团队出品

在线阅读

《数字银行安全体系构建》

网商银行安全团队出品

查看详情

年度总结

查看我的各年度总结

您也可以通过在海量简历中脱颖而出中查看我的简历以了解更多关于我的信息。

歌单: 周杰伦

后来 - 刘若英
黄昏 - 周传雄
房间 - 刘瑞琦
青花 - 周传雄
勇气 - 梁静茹
宁夏 - 梁静茹
泡沫 - 邓紫棋
城府 - 许嵩
素颜 - 许嵩
幻听 - 许嵩
花海 - 周杰伦
夜曲 - 周杰伦
退后 - 周杰伦
外婆 - 周杰伦
七里香 - 周杰伦
猜不透 - 丁当
忽然之间 - 莫文蔚
千里之外 - 周杰伦
有何不可 - 许嵩
孤单心事 - 蓝又时
回到过去 - 周杰伦
电台情歌 - 莫文蔚
清明雨上 - 许嵩
需要人陪 - 王力宏
灰色头像 - 许嵩
纸短情长 - 烟把儿
一生所爱 - 卢冠廷&莫文蔚
平凡之路 - 后会无期
盛夏的果实 - 莫文蔚
小手拉大手 - 梁静茹
听妈妈的话 - 周杰伦
红色高跟鞋 - 蔡健雅
多余的解释 - 许嵩
爱就一个字 - 张信哲
可惜不是你 - 梁静茹
会呼吸的痛 - 梁静茹
玫瑰花的葬礼 - 许嵩
有没有人告诉你 - 陈楚生
给我一首歌的时间 - 周杰伦
总有一天你会在我身边 - 棱境
Free Loop - Daniel Powter
SeeYouAgain - Wiz Khalifa&Charlie Puth
Jar of Love - 曲婉婷
Welcome to New York - Taylor Swift

Time - 小青龙&辉子
回到未来 - Double Zhuo&Tizzy T
我欲乘风 - 安全着落
个人简介 - 安全着陆
不怪她 - 马思唯

一生所爱 - 卢冠廷&莫文蔚
童年 - 张艾嘉
此生不换 - 青鸟飞鱼
三葉のテーマ - RADWIMPS
夢灯籠 - RADWIMPS
愛にできることはまだあるかい - RADWIMPS
いつも何度でも - 宗次郎
红色石头 - 李智楠
逍遥叹 - 胡歌
漫步人生路 - 邓丽君
最远的你是我最近的爱 - 车继铃
铁血丹心 - 罗文，甄妮

关于本站

域名

内容

站点定位是怎么样的？

主要目的是积累自己的知识体系，将自己的思考、经验记录沉淀下来，为以后留下点什么，也顺便给需要的人。
所有内容需要满足：自己理解透（深入度）并实际验证过（可操作性），并能通俗易懂地讲清楚（易于理解）。不断回顾+完善（持续优化），保持内容最新可用（不过时）。最终实现所有相关主题，看这一篇内容就足够了（全面性）。

为什么使用Wordpress？

和大多数人一样，建博客那些事就是一部血泪史，从最初的自己搭建、到后面的公共博客、再到基于GitHub托管，建了停停了建，也不知道是什么支撑着自己，如果减肥有这样的坚持就好了。
只有都试过才知道哪个是最好的。博客是写文字的地方，所以这件事的核心是写文字和被浏览。写文字的核心是编辑器要方便、要能随时编写发布、能处理图片视频，而被浏览最关键的是要符合自己审美、大家打开速度快浏览舒服。作为技术人员对Markdown的那点坚持，总想有点技术性，写篇文章需要在本地客户端写好，把文章和图片上传到GitHub等待生成静态页面，确实不用自己搭服务器考虑稳定性问题，用Markdown写文章也确实挺好的，但真麻烦。
成熟的才是最好的，大多数人选择的不会走弯路。最终回到了原点WordPress，打动我的是在Themeforest中WordPress有一个独立的菜单，里面有被大量售卖的模版，而其它CMS都在CMS一个菜单下，侧面反应了WordPress生态的成熟度。因此我挑选了一个博客模版，以前总是有点技术相轻的思想，一个模版卖几百块太贵了吧，以前自己尝试过扒一扒改改就可以自己使用了。有点类似软件的破解，钱是省了但带来但问题也很明显，他后续但迭代更新你都无法直接应用，你需要持续不断的跟进维护，这成本非常的高。不破解自己去买的话，被国内的破解产业搞的每个人潜意识就认为软件是不应该要钱的，要么破解要么靠广告或增值服务来赚钱，导致我们看到一个好软件最先想到的不是购买它而是找破解版，自己也写过很多年软件，很清楚专业和业余的差距。设计、交互、兼容性、安全、代码质量、可配置化等等，一个模版迭代了几年其中解决了多少小问题做了多少优化，再想想只卖几百块是不是很便宜了。就和一个日历软件一样，macOS中的日历可能有几十号优秀工程师维护，而各种市场上的日历可能是某个三人工作室的N个软件中的一个，短期表面使用起来可能还真体会不到区别，时间长了就会知道了。一个模版、一个软件都如此，WordPress的成熟就更显著了，在博客市场做了这么多年，你不需要担心需要自己去改造他，你将来会遇到的所有问题他都遇到并解决过，而且还有非常丰富的插件市场能让你轻松搞定SEO、表单、代码高亮、图片优化、社交分享甚至SSL。

为什么不是语雀？

作为在公司每天都需要使用的软件，语雀确实非常适合我，优秀的编辑器体验、简洁的外观以及方便的多人协作，树形知识库更加适合知识类型的沉淀。我也使用了好几年，但最终还是回到了Wordpress。
首先不支持自定义域名，导致在SEO上很吃亏，自然流量很少。自定义程度还是比较低，比如希望有一些特别的组件或者交互形式都无法实现。

为什么不是微信公众号？

因为知识体系是需要不断更新的，微信公众号的文章发布后是无法进行大改动的。

AI时代下的博客还有意义吗？

意义是我自己赋予的。AI的知识和你的知识之间存在巨大鸿沟，就像是知道和做到一样。我的个性数据（与众不同的媒体文件、观点、经验与思考）、情感表达（自己的故事与情感）、严谨的深度内容、传播影响、创意、及时性的观点，都是AI目前无法替代的。

本站网络安全

类目	威胁	措施
网络	DDoS/CC	DNS解析指向政府网站
	MITM	HTTPS（SSLLabs Test评分 A+）；HSTS；HSTS Preload
应用	XSS	Security Header(CSP/X-XSS-Protection)
	iFrame	Security Header(X-Frame-Options)
	MIME Sniffing	Security Header(X-Content-Type-Options)
	Fronted Backdoor	Security Header(Permissions-Policy)
	SQLi	Change Database Prefix；无敏感数据；
	管理账号密码爆破	自定义用户名；强密码；~~2FA~~；Disable xmlrpc；隐藏登录地址；
	信息泄漏	DEBUG False；Disable PHP Error；Hide PHP/Wordpress/Nginx Version；
	木马	DISALLOW_FILE_EDIT；
	软件/插件0day漏洞	自动更新最新版本；
	勒索软件	软件备份；ECS镜像备份；
主机	SSH爆破	仅开放80/443；Private IP Login with Key
	木马/RCE	正确的目录权限；禁止出网；

本站访问速度

类目	项目	厂商	配置/版本	效果
基础设施	域名DNS服务商	DNSPod		<60ms
	主机与网络	阿里云	4M独享，南北双地（杭州+北京）	<15ms
	CDN	–	–	–
基础软件	软件	WordPress	6.x（自动更新）
	Web服务	Nginx	1.20.1（最新）+HTTP2
	语言	PHP	8.0.30（最新）+OPCache+FastCGI Cache
软性层面	精简-主题	Typology	基于纯文本主题
	精简-文本	Lighthouse	/
	压缩-文本	Minify	合并并压缩
	压缩-图片	Webp	压缩并合并
	压缩-传输	GZip	全部内容类型
	异步-文本	async	非基础功能文件
	异步-图片	Lazy Load	/
	缓存-浏览器	HTTP Cache	no-cache
	缓存-应用	FILE Cache	Page/Post
	缓存-数据库	Redis	3.2.12
	其它-多层URL跳转	/	0
	其它-外部域名资源数	/	0
测速		PageSpeed Insights（Lighthouse）	Performance分数	100
		Pingdom	Performance分数	94