吴翰清黑客排名_吴翰清防ddos攻击

15年前，那个黑掉阿里内网的“黑客男孩”吴翰清，如今情况怎样？

在人们的印象当中，黑客是一个神秘的存在，实际上他音译过来的单词Hacker，原意上是指热心计算机技术、水平高超的当娘高手，后来包括了那些用不法手段，入侵他人电脑，窃取财富或者是隐私的人，因此如今的黑客界，也将其区分为“白帽子”和“黑帽子”，“白帽子”指的是有能力破坏电脑安全但不具恶意目的的黑客。一般有清楚的定义道德规范并常常试图同企业合作去改善被发现的安全弱点。而相反黑帽子则用来区分那些试图进行不正当操作的人。

“黑客男孩”吴翰清，也是一名“白帽子”成员，他最为出名的操作，正是在15年前，用3分钟就黑掉了阿里的内网，这后面又有怎样的故事呢？

1985年出生的吴翰清，在少年的时候，已经展现了对电脑超长的热爱和精湛的技术，因此他凭借自己出色的才能，在15岁就进入了西安交大少年班进行学习。在常人的眼中，吴翰清自然算得上是天才一般的存在，但是对于这个少年而言，他还是希望和普通人过得一样。

得益于西安交大计算机实验室的便利条件，而吴翰清的电脑技术也是突飞猛进，他创造了全国一个汇聚有顶尖技术黑客的组织：幻影论坛，交流技术心得，颇有些华山论剑的味道，只是让人感到遗憾的是，开设服务器需要巨大的资金，因为钱财有限，最终吴翰清只好关掉了这个论坛，在大学进修后，2005年，20岁的吴翰清，在朋友的推荐下，进入阿里面试。

最初的面试官，对于这样一个还处在学生阶段的年轻人，无疑是有些轻视的，他问了吴翰清这样一个问题：“你如何去证明自己的技术水平？”

然而吴翰清却很快用实际行动证明了自己，他向阿里面试官借来了一台公司内网的笔记本电脑，而在三分钟后，现场的人目瞪口呆，阿里巴巴内网运营商的一台路由设备，被吴翰清在远程关闭，最终导致了 *** 中断。

凭借这一番技惊四座的操作，吴翰清很快就被阿里录用，而他的晋升之路也是十分的迅速。当时互联网刚刚普及的年代，虽然阿里是最早下海的弄潮儿，然而公司对于 *** 的防护，却没有多少重视，而在阿里上任不久后的吴翰清，便干了一件大事，他将当时公司高层的邮箱密码全部破解一遍，还留下一封邮件进行告知，为此吴翰清更加被中式，到了2012年的时候，28岁的吴翰清，带着可以说是中国最为顶尖的技术团队之一，拦截住了互联网历史上更大的ddos攻击，这场没有硝烟的战争，战况却是异常的激烈，如果阿里 *** 陷入瘫痪，那么可能造成巨额的损失。

如今的吴翰清又怎样了呢？在阿里崛起的一段时间，他也曾离开过，加入安全宝创业团队，想要开发自己的人工智能系统，不过随着2014年阿里收购，吴翰清重新回到了阿里的旗下。

在2017年的“双十一”活动，阿里巴巴天猫当日成交额达到了1682亿人民币，支付宝实现支付总笔数14.8亿笔，在这史无前例的数字背后，阿里数据库处理峰值达到了每秒4200万次，正是吴翰清和其团队负责的阿里云进行维护，为交易提供了一个有力的屏障。

因此在2017年，《麻省理工学院科技评论》（MIT Technology Review）揭晓了当时全球青年科技创新人才评选结果，而阿里云首席安全科学家吴翰清，也当仁不让地名列其中。

湖南神童吴翰清：15岁考入西交大，被称为阿里守护神，现状如何？

1985年，吴翰清出生在湖南长沙的一个高知家庭，父亲是名医生，母亲是名大学老师，吴翰清是家中的独生子。

身为知识分子，父母深知教育的重要性，所以，他们非常重视儿子的启蒙教育，三岁的时候，就开始教授吴翰清识字。

吴翰清也没辜负父母的期望， 年纪小小就展现出惊人的天赋，无论是超强的记忆力，还是异于同龄孩子的学习力。

一个字，父母念三遍，他就能写出来，一道数学题，他总会举一反三，很快解出来。父母自然注意到了吴翰清的天资聪颖，所以为他找来小学课本。

此后，在同龄孩子玩耍的年纪，吴翰清已经踏上学业的道路。

1997年，吴翰清考入湖南大学附属中学， 进入初中后，他勤奋好学，刻苦钻研，因此成绩优名列前茅。不过，相比其他的学霸，吴翰清的身上有一种“叛逆性”，那就是喜欢挑战，喜欢一切未知的东西。

2000年，15岁的吴翰清升入该校高中，也是在这年，他报考了西安交通大学的少年班，最终吴翰清通过层层选拔，在众多才子中，脱颖而出，最终，顺利被西安交通大学录取。 这年，湖南省只有2名考生进入西交大的少年班。此时，吴翰清有了 “神童” 的称号。

进入少年班，吴翰清选择了计算机专业。在他看来，这个专业既新颖又具挑战性，很值得学习。正好这年，计算机出现了“千年虫危机”。

怀着好奇和兴趣，吴翰清开始学习计算机，没想到，这一学，却是找到真正的兴趣，那就是黑客技术，为此，他日夜钻研。即使父母时常批评吴翰清，他也乐此不疲。

从小到大，吴翰清的自学能力都是极强的，无论是知识学习，还是实际历练，所以黑客技术的学习也是如此。

说到黑客技术，就不得不提它的分类。简单来说，黑客分为三类：一类是黑帽子，这类黑客的行为是恶意的，是有害的；一类是白帽子，他们是有益的；还有一类是灰帽子，这类黑客往往是有争议性的，他们用的是黑帽子的技能，但他们的目的和意图却是善意的。

在这三类中，吴翰清选择了第二类——白帽黑客。此后，他花费了一年的时间，熟练掌握这门技术，不仅如此， 他还创立了一个名叫“幻影旅团”的信息安全组织。这年，吴翰清只有16岁。

虽然，吴翰清年纪小，但他的技术却不弱，因此，他创建的“幻影旅团”集结了各地的计算机大神。当然，大家学习黑客技术目的是善意的，都想着守护中国互联网安全。

在目标的驱使下，大家热血沸腾。为了将“幻影旅团”办好，他们还凑钱租用网站服务器，他们也没想着回报，只想着用技术守护国家。

在大家的努力下，“幻影旅团”也是越办越好 。一度成为当时国内极具影响力的 *** 安全组织之一。可是，“幻影旅团”的路并没有走多久。

2003年，迎接“幻影旅团”的是接连不断的DDoS攻击 ，可此时的吴翰清等人却是束手无策，因为他们没有资金租用资源抵抗攻击。最终导致网站无法访问。

在攻击者的多次挑衅下，吴翰清只能亲手关闭了它。这个选择对他而言，是气愤的，也是无奈的。

十几年后，再提起这段岁月，吴翰清少了气愤，却多了几分遗憾。他说 ：“大家的技术都那么厉害，要是幻影旅团继续走下去，说不定会成为 *** 安全界的CSDN”。

虽然吴翰清的设想没成真，但幻影旅团的成员却都有了好归属。他们都用自己的身份、自己的方式，在守护 *** 的和平与安全。

2005年， 20岁的吴翰清顺利毕业。 此时，他看中了阿里巴巴的发展前景，所以，带着几分热忱，去了阿里。

吴翰清的面试简历自然是优秀的，不说他的少年班经历，就是他小小年纪，创建了“幻影旅团”，也是让人钦佩的。

再加上面试现场，吴翰清的出色表现，也让在场的几位面试官竖起来了大拇指，他们由内而外地对这位年轻人多了几分尊重。最后，他们一致决定，吴翰清担任公司的高级安全专家。而这份工作邀约在面试现场就被发放了。

此后，实习了6个月，吴翰清就正式成为阿里的一员了，他的工作内容是负责建设和维护阿里的安全系统，防止厉害的黑客攻击公司 *** 。

也是在这年，阿里建立了“神盾局”，身为“ *** 特工队”，它每天服务数以万计的消费者。职责也是多样的：保护交易安全性;保护隐私信息;保护数据安全等等。

在其位谋其职，成为“神盾局”反黑客团队的一员，吴翰清尽职尽责，不放过 *** 上的任何一个漏洞。吴翰清见证了，阿里 *** 安全部门的新开始。

2008年，吴翰清成为安全技术团队的带头人。近几年，随着阿里的发展，他面临的挑战也是越来越大，为了从万亿条数据中，找到入侵行径，以及在极短的时间里完成后续处理工作，吴翰清和他的团队还打造了世界级的反入侵体系。

随着时间的流逝，吴瀚清的 *** 安全部门在阿里也有了举足轻重的地位。身为部门的带头人，吴翰清本人在 *** 安全领域的名声也很大。

此时，他有了各种各样的称呼，“阿里的守护神”、“道哥”、“刺”、“小黑”以及“让马云安睡的男人”.......

对于大家的夸赞，吴翰清总是一笑而过，他说 ：“阿里的 *** 安全，不仅是我一个人的功劳。而是大家共同努力的成果”。

2008年底，当时担任微软亚洲研究院常务副院长的王坚，受到马云的邀请，前往阿里做云计算。

王坚进入阿里后，看中了吴翰清。所以在王坚的盛情邀请下， 吴翰清参与“飞天系统”的安全设计。 能得到伯乐的赏识，吴翰清这匹“千里马”自然是欣喜的，他也以为自己迎来了新的发展机会，万万没想到这条路并不好走。

当时，阿里云的云计算迟迟没有新进展，公司内部也对王坚颇有微词，声称他就是个骗子，大家对阿里云充满了质疑，觉得阿里云只见投资，不见回报。

这样的压力也给到了王坚下面的其他员工，当时，一位员工这样说 “这个阶段的我，就像站在淤泥里，想要使劲，却发现头顶还有一辆车，实在是让人无力”。

有这样感受的，还包括吴瀚清。所以，此时的他，决定离开这里，寻找新的出路。

2012年，在阿里任职了七年的吴翰清不顾王坚的极力挽留，辞职了。 这年，他27岁。之后，吴翰清加入了一家创业公司，名为“安全宝”。他是公司的副总裁。

此时的他，为了将自己的安全技术分享给更多的人，写了一本名叫 《白帽子讲Web安全》 的书籍，令吴翰清惊喜的是，他的书籍一经发表，就迎来了无数看客。

与惊喜相伴而来的便是，创业的艰巨性。就这样苦苦坚持了两年，“安全宝”不但没有走上正轨，反而愈加败落。

恰巧这个时候，王坚开始邀请吴翰清再次加入阿里。此时，他心动了，结合阿里云的发展现状，他已经看到了广阔的前景。就这样，他将公司的业务分别卖给了百度和阿里。然后，带着公司的几个骨干，再次去了阿里。

2014年9月，吴清翰回归阿里，成为“ 云盾”的负责人。“ 盾”顾名思义，便是盾牌，起到 *** 防护作用，主要维护云平台，云 *** 环境等云上安全。

当时 “ 云盾”仅有20人，比例占不到阿里云总人数的十分之一，即使如此，吴清翰也信心满满，他坚信自己会带领团队越走越走。

事实情况，的确如他设想的那般，在此后大大小小的 *** 危机中，吴清翰和他的团队永远走在最前列。此后，他和他的团队帮助全国将近一半的网站，每天抵挡16亿次的恶意攻击，帮助用户修补数百万个漏洞。

2015 年 9 月，阿里云发生了自建立以来，更大的DDoS 攻击，被称为901 事件。身为“云盾”的负责人，30岁的吴翰清亲自带领团队抵御了这场风波，峰值达 453.8Gbps，攻击高达5亿次。

此后，吴翰清算是真正的一站成名。有人称他 是“中国最强大的黑客”， 还有人说： “阿里能走到现在，靠阿里云做技术支撑，阿里云能这么厉害，靠的是无数个吴翰清”。

这话一出，大家也是非常的赞同。他们都觉得，吴翰清为阿里的发展，贡献了极大的力量。

2017 年 8 月，32 岁的吴翰清以阿里云首席安全科学家的身份，入选“TR35”，也就是“全球未满35岁的 科技 创新35人”。 与他入选的还有阿里人工智能首席科学家王刚。之后，吴翰清的传说越发离奇，关于他的软文也是一篇又一篇。

随后，这条微博被阿里的风险委员会主席邵晓锋转发，他说，对于黑阿里网站的人，他们不但不会聘请，还会报警。

说到这件事，就要提一下，大家传播的面试版本： 面试途中，面试官问吴翰清：“你如何证明自己能够胜任这项工作？”吴翰清微微一笑，然后提出一个请求：“希望可以借用贵公司的一台电脑”。

接着电脑就拿过来了，然后，吴翰清在三分钟的时间里，运用自己的黑客技术，在远程操作的情况下，将阿里内网的一台路由设备关了，导致公司 *** 瘫痪。

所以，这个版本仅仅是为了吸引大家的眼球，按照吴翰清本人的说法，这并不是真实的。总之，本人亲自下场澄清谣言，大家也是相信居多。

2021年6月4日，身为“杰出校友”的吴翰清受到邀请，前往西安交通大学少年班，和20级少年班的学弟学妹们，进行互动交流。

在现场，吴翰清为大家讲述了自己的人生经历，并且从四个方面“宽容、坚持、感恩、敬畏”以己推人，他希望学弟学妹们，能够成为一个对别人宽容、做事坚持不懈、常怀感恩之心，敬畏理想以及未来的优秀人才。

并且，吴翰清还告诉大家，人生的价值和意义在于对国家和 社会 做贡献。一番交流，同学们掌声不断、异常激动。交流会的最后，同学们将自己亲手 *** 的版画《E=mc2》送给了吴翰清。

如今，吴翰清37岁了，他还是阿里集团的一员，不过他已经活跃在人工智能领域了。 对于吴翰清而言，这是一个新的领域，可是，他是一个喜欢挑战的人，所以，此时的他依然保持着刚入行的热情和活力。

虽然吴翰清已经不在 *** 安全领域了，但他曾经的 *** 守护却是值得阿里和人们铭记的，阿里之所以走到现在，拥有如此高的地位，是因为背后，有无数个“吴翰清”在默默守护。

吴翰清为什么那么NB

因为吴翰清最有名的故事是侵入了腾讯的主机系统，并把马化腾的 *** 号拿来把玩了数日。最后玩腻了，吴翰清打 *** 给腾讯的人，说你们的系统有漏洞。结果腾讯的人竟然就此设计陷害，向警方报案。

他28岁的时候，带领团队抵御了当时互联网史上更大的DDos攻击，峰值达到453.8Gbps。30岁，他以一个团队的力量，每天帮助全中国37%的网站抵御16亿次攻击。

扩展资料：

吴翰清每天带领团队抵挡数十万次的攻击，不愧为阿里的守护神。阿里巴巴之所以称为伟大的企业，是因为它的身后有许许多多像吴翰清这样的技术大牛在日夜维护着，真正的英雄总是默默在背后付出，阿里巴巴创业初期的十八罗汉固然可敬，但阿里巴巴成长阶段的守护骑士一样值得被人们记住。

白帽子讲wed安全的书有效果吗?

在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？本书将带你走进web安全的世界，让你了解web安全的方方面面。黑客不再变得神秘，攻击技术原来我也可以会，小网站主自己也能找到正确的安全道路。大公司是怎么做安全的，为什么要选择这样的方案呢？你能在本书中找到答案。详细的剖析，让你不仅能“知其然”，更能“知其所以然”。

《白帽子讲web安全》是根据作者若干年实际工作中积累下来的丰富经验而写成的，在解决方案上具有极强的可操作性，深入分析了各种错误的解决方案与误区，对安全工作者有很好的参考价值。安全开发流程与运营的介绍，对同行业的工作具有指导意义。

编辑推荐

“安全是互联网公司的生命，也是每一位网民的最基本需求。

一位天天听到炮声的白帽子和你分享如何呵护生命，满足最基本需求。这是一本能闻到硝烟味道的书。”

——阿里巴巴集团首席架构师 阿里云总裁 王坚

白帽子讲web安全 作译者:

吴翰清，毕业于西安交通大学少年班，从2000年开始研究 *** 攻防技术。在大学期间创立

了在中国安全圈内极具影响力的组织“幻影”。

2005年加入********，负责 *** 安全。工作期间，对********的安全开发流程、应用安全建设做出了杰出的贡献，并多次获得公司的表彰。曾先后帮助 *** 、支付宝建立了应用安全体系，保障公司业务得以快速而安全地发展。

2009年起，加入********支计算有限公司，负责云计算安全、反 *** 欺诈等工作，是********集团更具价值的安全专家。长期专注于安全技术的创新与实践，多有建树。同时还是owasp在中国的区域负责人之一，在互联网安全领域有着极其丰富的经验。平时乐于分享，个人博客的访问量迄今超过200万。多年来活跃在安全社区中，有着巨大的影响力。多次受邀在国内、国际安全会议上演讲，是中国安全行业的领军人物之一。

白帽子讲web安全 目录：

之一篇 世界观安全

第1章 我的安全世界观 2

1.1 web安全简史 2

1.1.1 中国黑客简史 2

1.1.2 黑客技术的发展历程 3

1.1.3 web安全的兴起 5

1.2 黑帽子，白帽子 6

1.3 返璞归真，揭秘安全的本质 7

1.4 破除迷信，没有银弹 9

1.5 安全三要素 10

1.6 如何实施安全评估 11

1.6.1 资产等级划分 12

1.6.2 威胁分析 13

1.6.3 风险分析 14

1.6.4 设计安全方案 15

1.7 白帽子兵法 16

1.7.1 secure by default原则 16

1.7.2 纵深防御原则 18

1.7.3 数据与代码分离原则 19

.1.7.4 不可预测性原则 21

1.8 小结 22

（附）谁来为漏洞买单？ 23

第二篇 客户端脚本安全

第2章 浏览器安全 26

2.1 同源策略 26

2.2 浏览器沙箱 30

2.3 恶意网址拦截 33

2.4 高速发展的浏览器安全 36

2.5 小结 39

第3章 跨站脚本攻击（xss） 40

3.1 xss简介 40

3.2 xss攻击进阶 43

3.2.1 初探xss payload 43

3.2.2 强大的xss payload 46

3.2.3 xss 攻击平台 62

3.2.4 终极武器：xss worm 64

3.2.5 调试javascript 73

3.2.6 xss构造技巧 76

3.2.7 变废为宝：mission impossible 82

3.2.8 容易被忽视的角落：flash xss 85

3.2.9 真的高枕无忧吗：javascript开发框架 87

3.3 xss的防御 89

3.3.1 四两拨千斤：httponly 89

3.3.2 输入检查 93

3.3.3 输出检查 95

3.3.4 正确地防御xss 99

3.3.5 处理富文本 102

3.3.6 防御dom based xss 103

3.3.7 换个角度看xss的风险 107

3.4 小结 107

第4章 跨站点请求伪造（csrf） 109

4.1 csrf简介 109

4.2 csrf进阶 111

4.2.1 浏览器的cookie策略 111

4.2.2 p3p头的副作用 113

4.2.3 get? post? 116

4.2.4 flash csrf 118

4.2.5 csrf worm 119

4.3 csrf的防御 120

4.3.1 验证码 120

4.3.2 referer check 120

4.3.3 anti csrf token 121

4.4 小结 124

第5章 点击劫持（clickjacking） 125

5.1 什么是点击劫持 125

5.2 flash点击劫持 127

5.3 图片覆盖攻击 129

5.4 拖拽劫持与数据窃取 131

5.5 clickjacking 3.0：触屏劫持 134

5.6 防御clickjacking 136

5.6.1 frame busting 136

5.6.2 x-frame-options 137

5.7 小结 138

第6章 html 5 安全 139

6.1 html 5新标签 139

6.1.1 新标签的xss 139

6.1.2 iframe的sandbox 140

6.1.3 link types: noreferrer 141

6.1.4 canvas的妙用 141

6.2 其他安全问题 144

6.2.1 cross-origin resource sharing 144

6.2.2 postmessage——跨窗口传递消息 146

6.2.3 web storage 147

6.3 小结 150

第三篇 服务器端应用安全

第7章 注入攻击 152

7.1 sql注入 152

7.1.1 盲注（blind injection） 153

7.1.2 timing attack 155

7.2 数据库攻击技巧 157

7.2.1 常见的攻击技巧 157

7.2.2 命令执行 158

7.2.3 攻击存储过程 164

7.2.4 编码问题 165

7.2.5 sql column truncation 167

7.3 正确地防御sql注入 170

7.3.1 使用预编译语句 171

7.3.2 使用存储过程 172

7.3.3 检查数据类型 172

7.3.4 使用安全函数 172

7.4 其他注入攻击 173

7.4.1 xml注入 173

7.4.2 代码注入 174

7.4.3 crlf注入 176

7.5 小结 179

第8章 文件上传漏洞 180

8.1 文件上传漏洞概述 180

8.1.1 从fckeditor文件上传漏洞谈起 181

8.1.2 绕过文件上传检查功能 182

8.2 功能还是漏洞 183

8.2.1 apache文件解析问题 184

8.2.2 iis文件解析问题 185

8.2.3 php cgi路径解析问题 187

8.2.4 利用上传文件钓鱼 189

8.3 设计安全的文件上传功能 190

8.4 小结 191

第9章 认证与会话管理 192

9.1 who am i? 192

9.2 密码的那些事儿 193

9.3 多因素认证 195

9.4 session与认证 196

9.5 session fixation攻击 198

9.6 session保持攻击 199

9.7 单点登录（sso） 201

9.8 小结 203

第10章 访问控制 205

10.1 what can i do? 205

10.2 垂直权限管理 208

10.3 水平权限管理 211

10.4 oauth简介 213

10.5 小结 219

第11章 加密算法与随机数 220

11.1 概述 220

11.2 stream cipher attack 222

11.2.1 reused key attack 222

11.2.2 bit-flipping attack 228

11.2.3 弱随机iv问题 230

11.3 wep破解 232

11.4 ecb模式的缺陷 236

11.5 padding oracle attack 239

11.6 密钥管理 251

11.7 伪随机数问题 253

11.7.1 弱伪随机数的麻烦 253

11.7.2 时间真的随机吗 256

11.7.3 破解伪随机数算法的种子 257

11.7.4 使用安全的随机数 265

11.8 小结 265

（附）understanding md5 length extension attack 267

第12章 web框架安全 280

12.1 mvc框架安全 280

12.2 模板引擎与xss防御 282

12.3 web框架与csrf防御 285

12.4 http headers管理 287

12.5 数据持久层与sql注入 288

12.6 还能想到什么 289

12.7 web框架自身安全 289

12.7.1 struts 2命令执行漏洞 290

12.7.2 struts 2的问题补丁 291

12.7.3 spring mvc命令执行漏洞 292

12.7.4 django命令执行漏洞 293

12.8 小结 294

第13章 应用层拒绝服务攻击 295

13.1 ddos简介 295

13.2 应用层ddos 297

13.2.1 cc攻击 297

13.2.2 限制请求频率 298

13.2.3 道高一尺，魔高一丈 300

13.3 验证码的那些事儿 301

13.4 防御应用层ddos 304

13.5 资源耗尽攻击 306

13.5.1 slowloris攻击 306

13.5.2 http post dos 309

13.5.3 server limit dos 310

13.6 一个正则引发的血案：redos 311

13.7 小结 315

第14章 php安全 317

14.1 文件包含漏洞 317

14.1.1 本地文件包含 319

14.1.2 远程文件包含 323

14.1.3 本地文件包含的利用技巧 323

14.2 变量覆盖漏洞 331

14.2.1 全局变量覆盖 331

14.2.2 extract()变量覆盖 334

14.2.3 遍历初始化变量 334

14.2.4 import_request_variables变量覆盖 335

14.2.5 parse_str()变量覆盖 335

14.3 代码执行漏洞 336

14.3.1 “危险函数”执行代码 336

14.3.2 “文件写入”执行代码 343

14.3.3 其他执行代码方式 344

14.4 定制安全的php环境 348

14.5 小结 352

第15章 web server配置安全 353

15.1 apache安全 353

15.2 nginx安全 354

15.3 jboss远程命令执行 356

15.4 tomcat远程命令执行 360

15.5 http parameter pollution 363

15.6 小结 364

第四篇 互联网公司安全运营

第16章 互联网业务安全 366

16.1 产品需要什么样的安全 366

16.1.1 互联网产品对安全的需求 367

16.1.2 什么是好的安全方案 368

16.2 业务逻辑安全 370

16.2.1 永远改不掉的密码 370

16.2.2 谁是大赢家 371

16.2.3 瞒天过海 372

16.2.4 关于密码取回流程 373

16.3 账户是如何被盗的 374

16.3.1 账户被盗的途径 374

16.3.2 分析账户被盗的原因 376

16.4 互联网的垃圾 377

16.4.1 垃圾的危害 377

16.4.2 垃圾处理 379

16.5 关于 *** 钓鱼 380

16.5.1 钓鱼网站简介 381

16.5.2 邮件钓鱼 383

16.5.3 钓鱼网站的防控 385

16.5.4 *** 流程钓鱼 388

16.6 用户隐私保护 393

16.6.1 互联网的用户隐私挑战 393

16.6.2 如何保护用户隐私 394

16.6.3 do-not-track 396

16.7 小结 397

（附）麻烦的终结者 398

第17章 安全开发流程（sdl） 402

17.1 sdl简介 402

17.2 敏捷sdl 406

17.3 sdl实战经验 407

17.4 需求分析与设计阶段 409

17.5 开发阶段 415

17.5.1 提供安全的函数 415

17.5.2 代码安全审计工具 417

17.6 测试阶段 418

17.7 小结 420

第18章 安全运营 422

18.1 把安全运营起来 422

18.2 漏洞修补流程 423

18.3 安全监控 424

18.4 入侵检测 425

18.5 紧急响应流程 428

18.6 小结 430

（附）谈谈互联网企业安全的发展方向 431