最近收到正式晋升通知。算是一个阶段性纪念。 回看这五年,并非一帆风顺。 更多的是——被时代推着走,然后在夹缝里找到自己的位置。 一、入职:天时地利人和...
2024-04-22
蚂蚁五年:从巅峰到低谷,再到转机
224 月
2023-12-14
数字银行安全体系构建
1412 月
深度参与的书正式出版了!以前每次和大家分享,因为时间、保密等原因都不够深入或全面。于是我们将数十人多年安全建设的精华经验,毫无保留的都写进这本书里。可能文字不够优美,但内容很有质量。来到支付宝后,很多书中的经验都有明显...
2023-11-27
基于原生安全范式构建可信纵深防御体系
2711 月
在面对高等级威胁,且自身业务高度复杂且体量巨大时,需要重新审视现有的安全体系的有效性。充分考虑安全体系完备性,从理论和技术层面加强安全体系面对真实威胁防御效果,以避免关键单点风险失控导致整体崩溃。以原生安全范式(NbS...
2023-05-01
自驾南疆大环线
015 月
2022-09-24
Log4shell(Log4j2 RCE)
249 月
Log4j2是一个广泛使用的Java日志框架,允许开发者通过简单的方式记录日志。该漏洞被标识为CVE-2021-44228,通常称为“Log4Shell”,通用漏洞评分系统 (CVSS) 评分为...
2021-08-27
GitHub Pull Request业务逻辑风险
278 月
最近看了几个GitHub Pull Request相关的漏洞,觉得有点意思,能侧面反应当前业界对于业务逻辑风险的一些现状,记录分享出来。 GitHub Pull Request风险之逻辑实现不一致...
2021-04-23
基于甲方视角的漏洞发现
234 月
为什么总是被外部发现该发现但遗漏的漏洞?为什么各种黑白灰扫描器老有各种原因遗漏的漏洞?如何解决人工渗透测试带来的遗漏、效率问题?你是否也遇到这些问题,本文会讲讲我理解的漏洞发现,并基于该理论延伸的甲方漏洞发现最佳实践初...
2020-10-01
正确认识国家级实战演练的价值
0110 月
客观面对结果,哪怕获得0失分也并不代表做得好,并不代表能防御国家级有组织的黑客队伍,有可能是被分到有软柿子的组,攻击队为获得更好的积分排名不一定会盯着你不放。此外客观来看,虽然防守方会被多个攻击队攻击,但同样每一个攻击...
2020-08-12
安全招聘与面试
128 月
作为面试者如何做一场完美面试?作为面试官如何识别面试者真实能力和缺陷?
2020-03-13
中间人劫持风险
133 月
HTTPS+HSTS+includeSubDomains+HSTS Preload List+浏览器侧阻止第三方Cookie+Cookie Secure Cookie...
2020-03-13
Equifax遭入侵导致1.47亿用户数据泄露的安全分析
2017年,美国最大的信用评级机构Equifax(艾可菲)遭到黑客入侵,导致1...
2020-01-01
如何在网络上抢银行:开曼国家银行入侵启示
011 月
Phineas Phisher 在 2016 年对位于马恩岛的开曼国家银行实施的黑客攻击,是一个引人深思的案例。他通过这次攻击非法获得了数十万英镑。结合 Phisher...