软件架构：支付宝的安全措施

支付宝的安全措施如绑定手机短信、动态口令（防止穷举破解）、安全控件（SSL）、短信校验服务、数字证书（网上身份确认）、第三方证书、支付盾（硬件加密技术）、宝令、宝令手机版、安全保护问题、安全策略、手机安全设置、赔付机制、安全监控等。

1. 检测攻击

A. 监控交易安全（可以检测大规模套现）

2. 抵抗攻击

A. 鉴别操作者（两个密码：一个用于常规操作，一个用于涉及资金流转的操作；数字证书：支付宝采用数字签名技术颁发给支付宝用户用于增强支付宝用户账户使用安全的一种数字凭证，并根据支付宝用户身份给予响应的网络资源访问权限；支付盾；动态口令：防止暴力破解）

B. 加密数据（使用安全控件：对关键数据信息进行128位SSL加密技术）

3. 对攻击做出的反应

A. 封锁账号（一天之内密码错误三次，就会封锁账号，防止暴力破解）

B. 通知用户（当涉及到敏感操作的时候，会以短信的方式告知用户）

C. （对于跨站脚本漏洞如钓鱼欺骗、身份盗用等，解决方案是对参数做html 转义过

滤，要过滤的字符包括：单引号、双引号、大于号、小于号，& 符号，防止脚本执行；

在变量输出时进行HTML ENCODE 处理）

4. 从攻击中恢复

A. 备份（阿里云有自动备份功能，在控制中心有快照功能实现自动备份）