網(wǎng)絡(luò)安全信息科技公司實(shí)習(xí)報(bào)告一、摘要

2023年7月1日至2023年8月31日，我在一家網(wǎng)絡(luò)安全信息科技公司擔(dān)任實(shí)習(xí)安全分析師。核心工作成果包括協(xié)助完成3次滲透測試，發(fā)現(xiàn)并修復(fù)12處高危漏洞，撰寫5份安全報(bào)告，其中2份被團(tuán)隊(duì)采納為標(biāo)準(zhǔn)流程。期間應(yīng)用了Wireshark進(jìn)行流量分析，累計(jì)分析網(wǎng)絡(luò)數(shù)據(jù)包10萬條，使用Nmap完成10臺(tái)服務(wù)器資產(chǎn)梳理，準(zhǔn)確率達(dá)98%。提煉出自動(dòng)化腳本編寫方法，通過Python編寫漏洞掃描工具，將重復(fù)性工作效率提升40%。這些實(shí)踐驗(yàn)證了課堂學(xué)習(xí)的網(wǎng)絡(luò)協(xié)議知識(shí)，并掌握了漏洞管理全流程操作細(xì)節(jié)。

二、實(shí)習(xí)內(nèi)容及過程

實(shí)習(xí)目的主要是把學(xué)校學(xué)的網(wǎng)絡(luò)安全知識(shí)用上，看看實(shí)際工作是怎么開展的，順便積累點(diǎn)項(xiàng)目經(jīng)驗(yàn)。

實(shí)習(xí)單位是家挺專業(yè)的網(wǎng)絡(luò)安全公司，主要做企業(yè)安全咨詢和滲透測試，團(tuán)隊(duì)氛圍還不錯(cuò)，技術(shù)大牛不少。

8周時(shí)間，我跟著團(tuán)隊(duì)參與了兩個(gè)項(xiàng)目。第一個(gè)是幫一家電商客戶做安全評估，主要是web應(yīng)用層面。我負(fù)責(zé)其中一個(gè)子系統(tǒng)的測試，用了OWASPZAP和BurpSuite抓包分析，發(fā)現(xiàn)12個(gè)漏洞，有5個(gè)是高危的，比如一個(gè)SQL注入，一個(gè)跨站腳本XSS。當(dāng)時(shí)寫漏洞報(bào)告挺費(fèi)勁的，客戶問東問西，我就對著官方文檔和測試記錄反復(fù)核對，最后報(bào)告總算讓他們滿意了。另一個(gè)項(xiàng)目是內(nèi)部網(wǎng)絡(luò)梳理，用Nmap做了資產(chǎn)盤點(diǎn)，掃了50臺(tái)服務(wù)器，整理出個(gè)拓?fù)鋱D，還發(fā)現(xiàn)3個(gè)開放端口沒做訪問控制。期間我也在學(xué)，比如用Wireshark分析網(wǎng)絡(luò)流量，把公司內(nèi)網(wǎng)的一些協(xié)議特征都摸熟了，效率高了不少。

遇到的困難有兩個(gè)。一是剛開始不熟悉滲透測試的流程規(guī)范，有個(gè)地方?jīng)]按標(biāo)準(zhǔn)寫，被帶我的師傅指出來了，他給我看了他們公司的漏洞管理checklist，說做安全得有據(jù)可查，不能想當(dāng)然。另一個(gè)是腳本編寫，想自動(dòng)化點(diǎn)東西，但Python基礎(chǔ)不牢，寫個(gè)簡單的腳本都卡半天，后來就去找了一些現(xiàn)成的框架，比如用Paramiko做SSH連接，感覺好多了。

成果的話，就是那5份安全報(bào)告，還有最后參與編寫的那份50頁的完整評估報(bào)告。個(gè)人感覺最值的是把理論落地了，像TCP三次握手這些，以前覺得抽象，現(xiàn)在知道抓包時(shí)看哪些字段才有意義了。團(tuán)隊(duì)也給了我反饋，說我的報(bào)告結(jié)構(gòu)清晰，但技術(shù)細(xì)節(jié)還可以再深挖。

這段經(jīng)歷讓我對安全運(yùn)維有了更直觀的認(rèn)識(shí)，以前覺得搞安全就是跑漏洞，現(xiàn)在明白服務(wù)端加固、應(yīng)急響應(yīng)這些同樣重要。職業(yè)規(guī)劃上，我想先在安全測試干兩年，把基礎(chǔ)打牢，再考慮要不要往更專業(yè)的方向發(fā)展。

單位管理上，感覺新人培訓(xùn)可以再系統(tǒng)點(diǎn)，比如給我發(fā)的資料太雜了，沒個(gè)主線。建議可以搞個(gè)新人成長手冊，按階段遞進(jìn)。崗位匹配度方面，我覺得挺合適的，就是實(shí)際操作經(jīng)驗(yàn)還是少了點(diǎn)，如果能早接觸真實(shí)項(xiàng)目就更好了。

三、總結(jié)與體會(huì)

這8周，從2023年7月1日到8月31日，在網(wǎng)絡(luò)安全信息科技公司的經(jīng)歷，讓我對安全領(lǐng)域有了實(shí)打?qū)嵉睦斫狻?shí)習(xí)價(jià)值是閉環(huán)的，學(xué)校學(xué)的那些加密算法、攻防原理，真用到抓包分析、漏洞驗(yàn)證中，才明白什么叫“知行合一”。比如用Nmap掃資產(chǎn)，光看書是理解不了那些掃描策略為啥有效果的，實(shí)際操作中看到網(wǎng)絡(luò)拓?fù)淝逦耍耪媲懈惺艿劫Y產(chǎn)測繪的重要性。

對職業(yè)規(guī)劃來說，這次實(shí)習(xí)就是一針強(qiáng)心劑。以前覺得安全崗位離自己好遠(yuǎn)，現(xiàn)在摸著鍵盤敲代碼寫報(bào)告，真切感受到這就是我要干的事。團(tuán)隊(duì)里那個(gè)師傅說的“安全人得有好奇心，還得沉得住氣”，我現(xiàn)在懂了。以后打算在深度學(xué)習(xí)方面下功夫，特別是想往滲透測試方向發(fā)展，已經(jīng)看好了幾本經(jīng)典書，打算下學(xué)期就開始啃，爭取明年考個(gè)CISSP。這感覺，就像找到了北，路子清晰多了。

行業(yè)趨勢這塊，我感受最深的是自動(dòng)化和智能化。公司里好幾個(gè)大牛都在搞基于AI的威脅檢測，那種效率，手動(dòng)測試根本沒法比。這讓我意識(shí)到，以后不掌握編程和數(shù)據(jù)分析，怕是沒法在安全圈立足。所以后續(xù)學(xué)習(xí)，除了啃硬骨頭，還得把Python玩溜，多練練正則表達(dá)式、網(wǎng)絡(luò)爬蟲這些。

心態(tài)轉(zhuǎn)變是最大的收獲。以前做實(shí)驗(yàn)，搞不好就重開，現(xiàn)在不一樣了，客戶問問題、報(bào)告被駁回，都得硬著頭皮去改。記得第5周寫那個(gè)電商項(xiàng)目報(bào)告，數(shù)據(jù)對不上，改了三版才過關(guān)，雖然累，但那種把事情做對的感覺，真踏實(shí)。責(zé)任感也起來了，以前覺得漏洞就是漏洞，現(xiàn)在知道每個(gè)漏洞背后可能影響多少用戶數(shù)據(jù)，這得拿捏好分寸。抗壓能力也是肉眼可見地變強(qiáng)了，以前遇到難題就想找老師，現(xiàn)在先自己查資料、翻文檔，實(shí)在不行再跟同事討論，效率高多了。

總的來說，這段經(jīng)歷就是從“學(xué)生思維”到“職場思維”的過渡。雖然才8周，但感覺自己肩膀上的擔(dān)子重了點(diǎn)，對未來的路也更明確了。實(shí)習(xí)不是終點(diǎn)，而是新的起點(diǎn)，這些踩過的坑、吃過的苦，都會(huì)變成日后前進(jìn)的動(dòng)力。

四、致謝

感謝公司給我這次