互聯(lián)網(wǎng)安全公司網(wǎng)絡安全實習報告一、摘要

2023年7月1日至2023年8月31日，我在一家互聯(lián)網(wǎng)安全公司擔任網(wǎng)絡安全實習生，負責協(xié)助團隊進行漏洞掃描、日志分析和應急響應工作。期間，累計完成200+次漏洞掃描，發(fā)現(xiàn)并修復35處高危漏洞，其中10處被權威平臺收錄。通過應用OWASPZAP和Nessus工具，優(yōu)化了掃描流程，使平均修復周期縮短至3天內(nèi)。參與編寫了5份安全分析報告，運用SIEM系統(tǒng)（如Splunk）處理了日均1萬+條日志，定位3起內(nèi)部異常訪問事件。提煉出基于機器學習的異常行為檢測方法論，可復用于同類場景，將誤報率降低20%。

二、實習內(nèi)容及過程

1.實習目的

希望通過實踐了解真實網(wǎng)絡安全工作場景，掌握漏洞分析、日志審計等基礎技能，熟悉安全工具使用和應急響應流程。

2.實習單位簡介

我在一家做云安全服務的公司實習，主要是幫團隊處理客戶系統(tǒng)的掃描和加固任務，系統(tǒng)類型包括Web應用、API和混合云環(huán)境。

3.實習內(nèi)容與過程

主要負責漏洞掃描執(zhí)行和結果分析，每周完成1015個客戶的例行掃描，用Nessus和ZAP工具，記錄每個系統(tǒng)的開放端口和協(xié)議指紋。

8周里處理了200+次掃描報告，重點檢查高危漏洞，比如發(fā)現(xiàn)一個客戶系統(tǒng)用的中間件版本有已知命令執(zhí)行漏洞，直接導致3個環(huán)境被列入黑名單。

參與了2次應急響應，一次是某系統(tǒng)被暴力破解導致密碼泄露，我們用了賬戶行為分析工具，通過IP地理位置和登錄時間戳定位到內(nèi)部員工誤操作；另一次是檢測到DDoS攻擊，用云平臺的流量清洗服務，2小時內(nèi)讓正常業(yè)務恢復80%。

編寫了5份安全周報，每份包含客戶系統(tǒng)漏洞趨勢圖，比如某客戶系統(tǒng)漏洞數(shù)環(huán)比下降18%，主要是我們推動他們升級了3個過時插件。

4.實習成果與收獲

成果上，累計修復35處高危漏洞，其中10個被NVD收錄，客戶滿意度提升25%。

收獲是學會了怎么用SIEM工具做關聯(lián)分析，之前在學校做實驗都是單點看數(shù)據(jù)，這次發(fā)現(xiàn)用Splunk的eai模塊把日志和告警關聯(lián)后，能提前30分鐘發(fā)現(xiàn)異常。

挑戰(zhàn)是初期對云環(huán)境不熟，比如AWS和Azure的訪問控制策略完全不一樣，花了2周時間才搞懂怎么用IAM權限模擬攻擊。最后是把公司內(nèi)部的安全文檔整理成工具手冊，以后新人能直接上手。

5.問題與建議

挑戰(zhàn)上最大的困難是工具鏈整合，公司用Nessus+Splunk+ZAP，但各系統(tǒng)間數(shù)據(jù)沒打通，分析漏洞時得手動導數(shù)據(jù)。

我建議可以建個統(tǒng)一的日志平臺，現(xiàn)在各客戶日志還在用S3和本地文件，查詢效率低。

實習單位管理上，新人培訓只有3天集中講，后面完全靠導師帶，但導師自己也比較忙，有時候問題要等半天才有回應?？梢远喔泓c線上沙箱環(huán)境，讓我們先練手。

崗位匹配度上，我學得最多的是漏洞掃描執(zhí)行，但實際業(yè)務需求是能獨立做滲透測試，這塊沒機會接觸，希望后續(xù)能增加這類實踐。

三、總結與體會

1.實習價值閉環(huán)

這8周實習像把書里的理論裝進了腦子里。7月1號剛來時，對WAF策略怎么寫還是懵的，后來參與處理一個SQL注入事件，看到師傅把規(guī)則從`wafrule:urlcontains'union'`改成更精準的`wafrule:methodgetandurlcontains'union'andheaderuseragentnotcontains'Bot'`，才明白顆粒度有多重要?，F(xiàn)在再看漏洞掃描報告，能直接把高危項和業(yè)務場景對上號，比如發(fā)現(xiàn)某個接口返回了內(nèi)部構建參數(shù)，立刻聯(lián)想到可能是供應鏈攻擊的入口，這種思維閉環(huán)是學校里模擬實驗給不了的。

35個漏洞修復記錄里，最讓我有成就感的是那個被忽略的權限繞過，客戶系統(tǒng)用了OAuth2.0，但刷新token邏輯有跨域漏洞，我花了3天逆向分析，最后用Postman模擬攻擊，把漏洞細節(jié)和修復建議寫成文檔發(fā)給客戶時，他們回郵件說這個點以前滲透隊都沒踩到。這種把0和1變成業(yè)務價值的體驗，讓我覺得學的東西真有用。

2.職業(yè)規(guī)劃聯(lián)結

實習最大的收獲是看清了自己要什么。之前想搞純研究，現(xiàn)在覺得更想做安全運營，特別是云原生安全這塊。8月25號那天晚上，我看著監(jiān)控平臺自動告警的誤報率表，發(fā)現(xiàn)用機器學習標記的異常IP，人工復核時居然對上了6個真實攻擊，才意識到數(shù)據(jù)驅動安全才是未來。下學期打算把研究方向改成ELK+機器學習，順便考個CISSP，現(xiàn)在看崗位JD，很多都要求能獨立搭建SIEM環(huán)境，這8周沒白熬。

導師跟我說過一句話：“漏洞掃描是基本功，但能寫安全策略才是高級活?！爆F(xiàn)在再看那些客戶的SSM報告，才懂他說的意思。比如有個電商客戶，我們掃出支付接口有CSRF，但后來發(fā)現(xiàn)他們自己寫了規(guī)則攔截所有帶參數(shù)的POST請求，結果把正常業(yè)務也關了，這就是工具和業(yè)務理解差了。所以下階段打算多看OWASPTop10的行業(yè)實踐案例，把技術能力往場景化靠。

3.行業(yè)趨勢展望

在公司看到的趨勢有兩個特別明顯。第一是攻防兩端都在用AI，比如我們用的威脅情報平臺會自動聚類惡意IP，但反過來攻擊者也在用AI繞WAF，8月15號有個客戶日志顯示，對方用GPT生成的JavaScript混淆代碼繞過爬蟲檢測，最后還是靠我們手動分析特征才封了源。第二是零信任成了所有新系統(tǒng)的標配，我整理的日志里，至少有12個系統(tǒng)在用PAM做多因素認證，但有個遺留系統(tǒng)居然還是明文傳輸token，這種新舊技術打架的地方特別容易出事。

8周里踩過的坑，現(xiàn)在看來都是行業(yè)通病。比如某個SaaS客戶，他們的安全負責人連OWASPZAP都沒用過，卻要我們做滲透測試，結果我們提交的10條漏洞，他只認了3個，最后我們團隊花了額外2天幫他補課才把報告簽收。這說明行業(yè)里安全意識和工具熟練度差異巨大，這也讓我覺得，做安全不能光會技術，得會教人。下學期打算搞個內(nèi)部工具鏈的GitHub賬號，把公司用的腳本、規(guī)則模板都開源，順便把實習里總結的《云環(huán)境安全自查清單》做出來，現(xiàn)在看招聘帖，很多小廠還在用Excel做漏洞跟蹤，太落后了。

四、致謝

1.

感謝實習單位給我這個機會，讓我看到真實的安全世界是什么樣。

2.