計算機科學網絡安全公司網絡安全工程師實習報告一、摘要2023年7月1日至2023年8月31日，我在一家網絡安全公司擔任網絡安全工程師實習生。核心工作成果包括協助完成3次內部滲透測試，發(fā)現并修復12處高危漏洞，其中5處涉及跨站腳本攻擊（XSS），2處涉及SQL注入。參與構建了2個自動化掃描腳本，使用Python結合Nmap和Metasploit框架，將常規(guī)漏洞掃描效率提升40%，日均處理目標數量從50個增加到70個。專業(yè)技能應用方面，熟練運用Wireshark進行流量分析，累計分析網絡數據包超過5000條；使用BurpSuite進行Web應用安全測試，提交的漏洞報告被3個項目組采納并修復。提煉出的可復用方法論包括：結合靜態(tài)代碼分析（SAST）與動態(tài)應用安全測試（DAST）的混合測試流程，以及利用機器學習初步識別異常登錄行為的策略，相關數據通過JupyterNotebook驗證準確率達85%。二、實習內容及過程實習目的主要是把學校學的網絡安全理論跟實際工作對接上，看看自己到底對哪些技術領域真感興趣，也想積累點項目經驗，為以后找工作打基礎。實習單位是家做網絡安全服務的公司，主要業(yè)務是給企業(yè)做安全評估、應急響應什么的。他們技術棧挺全的，用了很多主流的安全工具和平臺，像是態(tài)勢感知系統(tǒng)、威脅情報平臺、EDR終端檢測這些。實習內容剛開始主要是熟悉環(huán)境，跟著導師學了公司內部的安全規(guī)范和操作流程。然后就開始接觸具體項目，參與了兩個主要工作。第一個是幫一個項目組做內部滲透測試，對象是他們新上線的幾個系統(tǒng)。我負責其中一個Web應用模塊，用了BurpSuite和OWASPZAP抓包分析，發(fā)現5個中危漏洞，2個高危的，一個是SQL注入，另一個是跨站腳本（XSS）。提交的漏洞報告他們挺快的就確認了，后面修復得也挺好。第二個任務是優(yōu)化漏洞掃描流程，之前用開源工具掃效率確實不高，有時候還得手動補掃描。我就用Python搭了個小腳本，結合Nmap和Nessus，把需要重點關注的端口和服務先篩選出來，跑完再用Metasploit做深度檢測。導師看了說這樣效率確實提上來了，從之前每天處理30來個靶機，提到后來能處理四五十個。遇到的困難主要有兩個。第一個是剛開始對他們的威脅情報平臺不熟，看不懂里面的指標和告警信息?；艘恢軙r間把平臺的基本操作和常用指標都摸透了，還去網上找了不少相關資料，算是搞明白了個大概。第二個是做滲透測試時，有個目標系統(tǒng)防護挺嚴的，封了不少常見端口，掃描一直沒結果。導師就建議我試試動態(tài)分析，我學了點逆向工程的基礎，用了IDAPro和Ghidra反編譯了他們給的幾個可疑DLL，最后定位到個硬編碼的密鑰，用這個密鑰繞過了好幾個安全檢查。成果方面，除了上面說的那些漏洞和效率提升，我還參與寫了份應急響應的預案草稿，雖然最后沒完全用上，但把學到的流程都梳理了一遍。收獲挺大的，特別是把Wireshark玩明白了，以前只會用最基礎的，現在能比較熟練地抓包分析，甚至能根據流量特征判斷一些攻擊行為。思維上感覺變化也挺大的，以前覺得漏洞就是找得越多越好，現在更看重漏洞的實際危害和業(yè)務影響，怎么用最有效的方式減少損失。職業(yè)規(guī)劃上，這次實習讓我更確定想往滲透測試或者應急響應方向發(fā)展，感覺挺有挑戰(zhàn)的，也很有價值。不過也發(fā)現了一些問題，比如他們內部管理有時候有點混亂，不同項目組之間的信息同步做得不太好，導致我有時候會接收到重復或者矛盾的指令。還有培訓機制吧，雖然有導師帶，但更多是靠自己摸索，要是能有更系統(tǒng)的培訓材料就好了。崗位匹配度上，感覺我接觸到的內容跟當初想象的有那么點偏差，實際工作中需要處理的事情比單純寫報告、做測試要多得多，比如跟客戶溝通、寫那種比較水的安全報告這些。改進建議的話，希望公司能給實習生準備一些更詳細的操作手冊或者知識庫，特別是像威脅情報分析、應急響應這些流程，光靠導師口頭講有點記不住。另外，項目分配上能不能稍微規(guī)范點，避免出現任務重疊或者信息不對稱的情況。再就是，要是能組織一些內部技術分享會，讓實習生也能聽聽別的同事在做的東西，可能會學到更多。三、總結與體會這8周，感覺像是把書里那些零散的知識點，真真切切地拼湊到了一起。從7月1號剛開始懵懵懂懂地面對那些專業(yè)工具和真實環(huán)境，到8月31號離開時能獨立處理一些常規(guī)任務，這過程挺快的，也挺實的。最大的價值閉環(huán)，就是發(fā)現課堂上學的那點東西，在實際操作中是遠遠不夠的，但那些基礎又是絕對跑不了的根本。比如Wireshark，以前就當個抓包工具用，這次深入分析了幾百個請求流，才明白流量特征跟攻擊行為之間那些微妙的關系，這種感覺挺奇妙的。提交的那幾個漏洞報告，從提交到被確認修復，整個過程大概花了不到一周，這種即時反饋讓我覺得挺有成就感的。這次經歷對我職業(yè)規(guī)劃的影響挺直接的。之前對網絡安全這行挺模糊的，現在稍微清晰點了。確實更想往滲透測試或者應急響應這塊兒鉆，感覺那種在攻防對抗中解決問題，比單純做理論研究要來得刺激，也更能體現技術的價值。我發(fā)現自己對處理突發(fā)情況、在壓力下快速分析問題挺有那股子勁兒。當然，也認識到自己的不足，比如對業(yè)務邏輯的理解還太淺，有時候找漏洞找不到點子上，這得在后面多下功夫。8周的時間，雖然不長，但確實讓我看到了行業(yè)的一些趨勢。現在不像以前那樣，單純靠某個單一的技術就能解決問題，更強調體系化的防御和快速響應。像他們用的那種態(tài)勢感知平臺，整合了日志、流量、威脅情報這么多維度的數據，靠的就是大數據分析和人工智能技術來發(fā)現異常。這讓我覺得，以后想在這個行業(yè)混，光懂點基礎協議、攻擊手法是遠遠不夠的，還得懂點數據分析、機器學習，不然真的會被淘汰。這也成了我接下來學習的一個明確方向。從一個學生到準職場人，心態(tài)上最大的轉變，就是責任感這東西，真不是說說而已。以前做實驗或者寫代碼，犯錯了大不了重做或者讓老師改。這次實習，你提交的那個報告，或者你分析的結論，可能就直接關系到客戶那邊系統(tǒng)的安全，這種責任感沉甸甸的。抗壓能力也鍛煉了不少，有時候一個漏洞查了兩天沒結果，或者被導師指著說哪里做得不對，心里是真有點打鼓，但調整過來之后，感覺成長挺快的。后面打算好好利用這股實習勁兒，先把Python在安全領域的應用再深化一下，把之前寫的那些腳本優(yōu)化完善。明年準備考個CISSP或者PMP，雖然現在還早，但得提前準備起來。還有那個逆向工程，這次碰了一下，感覺挺有意思，但還遠沒入門，打算找個時間系統(tǒng)學學。總之，這次實習算是給我指明了方向，也給了我不少動力，接下來就是擼起袖子加油干了。四、致謝要感謝的公司，提供了這次機會，讓我能接觸到真實的安全項目