計算機科學(xué)與技術(shù)XX互聯(lián)網(wǎng)安全工程師實習(xí)生報告一、摘要

2023年7月1日至2023年8月31日，我在XX互聯(lián)網(wǎng)安全工程師崗位實習(xí)。期間，我負(fù)責(zé)完成Web應(yīng)用安全測試，累計發(fā)現(xiàn)并提交高危漏洞23個，中危漏洞47個，平均每周完成測試模塊5個，修復(fù)驗證率高達(dá)92%。核心工作包括使用BurpSuite進(jìn)行流量攔截分析，編寫自動化掃描腳本（Python），集成OWASPZAP實現(xiàn)漏洞復(fù)現(xiàn)。通過實踐，我掌握了漏洞挖掘的系統(tǒng)性方法：結(jié)合靜態(tài)代碼分析（SAST）與動態(tài)行為監(jiān)控，建立漏洞風(fēng)險評估模型。專業(yè)工具的應(yīng)用效率提升40%，腳本化測試覆蓋范圍擴大至傳統(tǒng)方法的1.8倍。這些成果支撐了部門季度安全審計目標(biāo)的達(dá)成，驗證了理論知識在真實場景的轉(zhuǎn)化能力，形成可復(fù)用的滲透測試方法論。

二、實習(xí)內(nèi)容及過程

1.實習(xí)目的

主要是想看看自己學(xué)的網(wǎng)絡(luò)安全知識在實際工作里能干啥，能不能找到自己擅長的地方，順便熟悉下互聯(lián)網(wǎng)公司的開發(fā)和安全流程。

2.實習(xí)單位簡介

我實習(xí)的公司是做在線教育出身的，后來擴展到知識付費和社區(qū)業(yè)務(wù)，用戶量不小，所以安全這塊兒挺受重視。技術(shù)棧主要是Java后端，前端用Vue，數(shù)據(jù)庫以MySQL為主，邊緣還有不少緩存和消息隊列。

3.實習(xí)內(nèi)容與過程

我跟著安全團(tuán)隊做Web應(yīng)用安全測試，第一個月主要是熟悉環(huán)境，學(xué)他們的測試流程和工具。他們用的滲透測試框架挺全的，有OWASPZAP自動掃描，也有手動測試的checklist。我接手的是他們的一個內(nèi)容發(fā)布模塊，主要是看接口和前端交互有沒有問題。

具體來說，7月5號開始上手，花了三天時間用BurpSuite抓包，發(fā)現(xiàn)幾個API參數(shù)沒做驗證，直接傳個特殊字符就能改別人的數(shù)據(jù)。比如一個修改課程信息的接口，沒校驗用戶權(quán)限，我構(gòu)造了個Payload，成功修改了別人課程的描述。團(tuán)隊那邊晚上就修復(fù)了，第二天早上測試環(huán)境已經(jīng)上線了新版本。

7月15號左右，開始接觸自動化測試，師傅教我用Python寫腳本，結(jié)合requests庫和正則表達(dá)式，把常見的SQL注入和XSS漏洞的檢測邏輯編進(jìn)去。第一個腳本花了五天時間，覆蓋了大概30個核心接口，跑下來能報出十幾條高危和中危漏洞。后來我琢磨著，能不能加個機器學(xué)習(xí)模型預(yù)判風(fēng)險等級，就用了周末時間學(xué)了幾篇論文里的方法，最后把誤報率從15%降到了8%。

8月初，公司搞活動，系統(tǒng)并發(fā)量上去特別快，我?guī)兔ΡO(jiān)控了接口的QPS，發(fā)現(xiàn)有幾個緩存未命中的接口響應(yīng)時間直接飆到500ms以上。我就提了個優(yōu)化建議，把熱數(shù)據(jù)用Redis集群代替，團(tuán)隊采納了，結(jié)果性能提升明顯。

4.實習(xí)成果與收獲

八周里，我提交的漏洞報告有70%被列為高危，修復(fù)驗證通過率92%。具體數(shù)字是23個高危，47個中危，3個邏輯漏洞。最大的一個發(fā)現(xiàn)是用戶頭像上傳接口沒做文件類型限制，能傳exe文件過去，直接在服務(wù)器上執(zhí)行。這個漏洞后來被用作內(nèi)部培訓(xùn)案例。

收獲上，最大的變化是覺得安全測試不只是點點點，得懂業(yè)務(wù)邏輯，比如那次課程修改漏洞，如果光看代碼，根本發(fā)現(xiàn)不了權(quán)限校驗是空的。還有學(xué)到了怎么用腳本提高效率，之前覺得自動掃描不如手動準(zhǔn)，現(xiàn)在發(fā)現(xiàn)兩者結(jié)合能省不少事兒。

5.問題與建議

實習(xí)里碰到兩個麻煩事兒。一個是7月20號左右，有個測試用例一直報錯，定位半天才發(fā)現(xiàn)是開發(fā)環(huán)境跟測試環(huán)境數(shù)據(jù)庫字段不一致，導(dǎo)致腳本執(zhí)行失敗。這個事兒讓我意識到，公司環(huán)境管理太糊弄了，不同環(huán)境之間差異太大。建議以后搞個統(tǒng)一的配置中心，關(guān)鍵字段都得同步。

另一個問題是培訓(xùn)太水了，就發(fā)了幾篇文檔，沒人帶，很多工具用法都是自己瞎鼓搗出來的。我提過能不能搞個新人訓(xùn)練營，比如每周安排個技術(shù)分享會，講講他們用過的那些安全工具和踩過的坑。畢竟安全這東西，光看書沒用，得多練多試。

職業(yè)規(guī)劃上，這次實習(xí)讓我更想往應(yīng)用安全方向發(fā)展，感覺做東西比做理論有意思。不過也清楚，現(xiàn)在能力還差得遠(yuǎn)，得繼續(xù)補課，特別是對業(yè)務(wù)的理解，光懂技術(shù)沒用。

三、總結(jié)與體會

1.實習(xí)價值閉環(huán)

八周時間，從7月1號到8月31號，感覺像是從理論世界猛地闖進(jìn)了現(xiàn)實戰(zhàn)場。剛?cè)サ臅r候，腦子里都是學(xué)校老師講的那些概念，像SQL注入、跨站腳本，背得滾瓜爛熟，但真拿到一個活系統(tǒng)上，完全不知道從哪兒下手。第一個星期就是在看團(tuán)隊的代碼庫，跟師傅請教各種工具怎么用，感覺手忙腳亂。后來慢慢上手，7月15號左右開始獨立負(fù)責(zé)一個模塊的測試，用BurpSuite抓包，寫Python腳本，感覺這才算是真正開始了實習(xí)。最爽的是7月25號，我發(fā)現(xiàn)那個頭像上傳的漏洞，提交上去后團(tuán)隊很快修復(fù)了，那一刻覺得特別有成就感?，F(xiàn)在回想，這八周就是從懵懂到有點眉目，把學(xué)校學(xué)的那些碎片知識拼成了個大概輪廓。

2.職業(yè)規(guī)劃聯(lián)結(jié)

這次實習(xí)讓我對安全工程師這個崗位有了更具體的認(rèn)識。以前覺得安全就是找個工具點點點，現(xiàn)在明白，做安全得懂業(yè)務(wù)，得知道系統(tǒng)是怎么跑的，才能找到真正的弱點。比如我發(fā)現(xiàn)的那個課程修改接口漏洞，如果光看代碼，根本發(fā)現(xiàn)不了權(quán)限校驗是空的，必須得了解這個功能的設(shè)計邏輯。這讓我意識到，以后想往這個方向走，光會技術(shù)遠(yuǎn)遠(yuǎn)不夠，還得加強對業(yè)務(wù)的理解。實習(xí)結(jié)束回去之后，我打算系統(tǒng)學(xué)學(xué)云原生安全這塊，公司那個系統(tǒng)用了很多K8s和Docker，我翻了幾篇相關(guān)的論文，感覺挺有意思的。另外，打算今年年底考個CISSP，把基礎(chǔ)理論再鞏固一下，畢竟學(xué)校教的可能偏重理論，企業(yè)里更看重實際動手能力。

3.行業(yè)趨勢展望

在實習(xí)過程中，能感覺到現(xiàn)在互聯(lián)網(wǎng)安全特別強調(diào)自動化和智能化。他們用的OWASPZAP自動掃描配合我寫的Python腳本，效率比純手動高不少。師傅還跟我提過，現(xiàn)在很多大廠都在搞SAST+DAST+IAST的混合防御，單靠滲透測試已經(jīng)不夠了，得跟開發(fā)流程緊密結(jié)合。比如他們搞了個代碼掃描平臺，新代碼提交前必須過一遍，能提前發(fā)現(xiàn)很多問題。這讓我覺得，未來的安全工程師，可能不光得會滲透，還得懂開發(fā)，會用各種工具鏈。行業(yè)里好像也越來越重視安全左移，我在那八周里，就體會到盡早介入測試的重要性，如果開發(fā)的時候就把安全考慮進(jìn)去，后面省事多了。

4.心態(tài)轉(zhuǎn)變與未來行動

最明顯的變化是心態(tài)吧，以前做實驗，失敗了重啟一下就行，現(xiàn)在提交個漏洞報告，得反復(fù)確認(rèn)會不會影響線上用戶，得考慮修復(fù)方案的可行性。7月30號左右，有一次掃描報告提交上去，師傅說有幾個漏洞評級定得有點高，讓我再復(fù)核一下。當(dāng)時心里挺急的，趕緊又用不同方法驗證了一遍，最后調(diào)整了幾個風(fēng)險等級，師傅后來也夸我考慮得周全。這種責(zé)任感，以前在學(xué)校根本體會不到?？箟耗芰σ矎娏它c，比如8月初系統(tǒng)高并發(fā)那會兒，我跟著壓測，半夜接到電話說某個接口響應(yīng)慢，馬上就起來分析日志，最后發(fā)現(xiàn)是緩存問題。雖然最后解決了，但心里挺虛的，畢竟經(jīng)驗還淺。

以后學(xué)習(xí)，肯定要把自動化測試這塊補上，他們用的那些Python庫，requests、beautifulsoup，我都得再練練。另外，打算多關(guān)注下零日漏洞動態(tài)，實習(xí)里感覺這類事件反應(yīng)速度特別重要?？偟膩碚f，這次實習(xí)收獲挺大的，雖然時間不長，但確實讓我對安全行業(yè)有了更深的理解，也明確了接下來要努力的方向。

四、致謝

1.

感謝