計(jì)算機(jī)科學(xué)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全實(shí)習(xí)生實(shí)習(xí)報(bào)告一、摘要

2023年7月1日至2023年8月31日，我在一家知名互聯(lián)網(wǎng)企業(yè)擔(dān)任網(wǎng)絡(luò)安全實(shí)習(xí)生，主要負(fù)責(zé)Web應(yīng)用安全測(cè)試和漏洞修復(fù)。通過8周的工作，累計(jì)發(fā)現(xiàn)并提交高危漏洞23個(gè)，中危漏洞47個(gè)，其中10個(gè)漏洞被納入公司月度安全通報(bào)，平均每日完成測(cè)試模塊3個(gè)，協(xié)助團(tuán)隊(duì)修復(fù)了5個(gè)高危漏洞，提升了系統(tǒng)安全防護(hù)能力。期間，我應(yīng)用OWASPTop10測(cè)試框架，結(jié)合BurpSuite和Nessus工具，熟練掌握了滲透測(cè)試流程，并提煉出自動(dòng)化腳本編寫方法，提高了20%的漏洞驗(yàn)證效率。實(shí)習(xí)期間，通過參與應(yīng)急響應(yīng)演練，深入理解了零日漏洞的檢測(cè)與處置流程，積累了可復(fù)用的安全評(píng)估方法論。

二、實(shí)習(xí)內(nèi)容及過程

2023年7月1日到8月31日，我在一家做互聯(lián)網(wǎng)服務(wù)的公司實(shí)習(xí)，崗位是網(wǎng)絡(luò)安全工程師助理。公司業(yè)務(wù)挺大，用戶量不少，系統(tǒng)復(fù)雜，安全壓力不小。實(shí)習(xí)初期主要是熟悉環(huán)境，跟著師傅學(xué)習(xí)基本的滲透測(cè)試流程，用了兩周時(shí)間把OWASPTop10和常見的Web漏洞類型過了一遍，還參加了內(nèi)部的安全培訓(xùn)，了解了公司的漏洞管理流程。

第3周開始獨(dú)立負(fù)責(zé)幾個(gè)在線應(yīng)用的測(cè)試，主要是用BurpSuite抓包分析，找邏輯漏洞和配置問題。第一個(gè)項(xiàng)目是測(cè)試一個(gè)電商平臺(tái)的支付模塊，發(fā)現(xiàn)了一個(gè)未驗(yàn)證的會(huì)話標(biāo)識(shí)符篡改漏洞，影響用戶訂單金額，花了3天時(shí)間復(fù)現(xiàn)和提交，后來被團(tuán)隊(duì)修復(fù)了。期間還用了Nessus掃了一次端口，發(fā)現(xiàn)20多個(gè)高危CVE，其中幾個(gè)是系統(tǒng)組件過時(shí)的，推動(dòng)團(tuán)隊(duì)更新了補(bǔ)丁。

第5周遇到個(gè)坎，一個(gè)測(cè)試沒思路，一個(gè)接口認(rèn)證邏輯一直過不去，反復(fù)檢查代碼和抓包都找不到問題，挺煩躁的。后來跟師傅聊了聊，他建議我用動(dòng)態(tài)分析結(jié)合strace看進(jìn)程調(diào)用，發(fā)現(xiàn)是中間件配置錯(cuò)了，調(diào)試了半天才解決。這事兒讓我明白，有時(shí)候問題不在代碼本身，可能是環(huán)境或配置出錯(cuò)了。

后半段開始接觸應(yīng)急響應(yīng)，參與了兩次安全事件處理，一次是用戶報(bào)的SQL注入，快速定位到是某個(gè)第三方腳本沒過濾，臨時(shí)做了WAF策略封禁；另一次是內(nèi)部發(fā)現(xiàn)的零日漏洞，協(xié)助研究員分析了觸發(fā)條件，寫了檢測(cè)規(guī)則。通過這些事，對(duì)漏洞的生命周期有了更直觀的認(rèn)識(shí)，從發(fā)現(xiàn)到修復(fù)再到驗(yàn)證，每個(gè)環(huán)節(jié)都不能馬虎。

整個(gè)實(shí)習(xí)期間，累計(jì)提交漏洞報(bào)告32份，高危占比超過40%，其中5個(gè)被列為重要修復(fù)項(xiàng)。最大的收獲是學(xué)會(huì)了怎么把理論知識(shí)落地，比如XSS防御不僅要在前端做轉(zhuǎn)義，后端也要有校驗(yàn)。公司流程確實(shí)有地方可以改進(jìn)，比如漏洞分配機(jī)制有時(shí)候挺亂的，提交后得等師傅手動(dòng)轉(zhuǎn)派，如果能自動(dòng)匹配優(yōu)先級(jí)就好了。另外，安全培訓(xùn)里關(guān)于云安全的內(nèi)容太少了，希望下次能補(bǔ)上AWS或Azure的實(shí)踐課。這段經(jīng)歷讓我更確定想往安全方向發(fā)展，但知道自己是塊新手磚，得多學(xué)習(xí)才行。

三、總結(jié)與體會(huì)

這8周，從2023年7月1日到8月31日，在公司的經(jīng)歷像把理論課上的那些安全概念給我具象化了。以前覺得OWASPTop10就是張清單，現(xiàn)在知道每個(gè)漏洞背后可能是復(fù)雜的業(yè)務(wù)邏輯和攻擊鏈。親手提交的32個(gè)漏洞報(bào)告，特別是那次在電商平臺(tái)支付模塊發(fā)現(xiàn)的會(huì)話篡改漏洞，被修復(fù)后看到系統(tǒng)通知，感覺挺有成就感的。這讓我真切體會(huì)到，安全工作不是玩黑客游戲，而是要找到風(fēng)險(xiǎn)點(diǎn)和業(yè)務(wù)場(chǎng)景的平衡點(diǎn)，這8周的工作讓我對(duì)漏洞管理、應(yīng)急響應(yīng)有了閉環(huán)的認(rèn)知。

這次實(shí)習(xí)也讓我更清楚自己想要什么。公司那種快速迭代、追求效率的氛圍，加上安全事件中需要爭(zhēng)分奪秒處置的壓力，讓我明白做安全不僅要有技術(shù)硬實(shí)力，還得有抗壓能力和責(zé)任心。比如第5周那個(gè)接口認(rèn)證的難題，折騰了兩天才解決，雖然過程痛苦，但成長(zhǎng)是實(shí)實(shí)在在的?，F(xiàn)在回頭看，感覺自己像個(gè)職場(chǎng)小白，但學(xué)到了在學(xué)校里摸不到的實(shí)戰(zhàn)經(jīng)驗(yàn)，比如怎么跟團(tuán)隊(duì)溝通漏洞風(fēng)險(xiǎn)，怎么根據(jù)影響分級(jí)處理。這種從學(xué)生到準(zhǔn)職場(chǎng)人的心態(tài)轉(zhuǎn)變挺明顯的。

行業(yè)里現(xiàn)在聊得多的零日漏洞、供應(yīng)鏈攻擊、云安全，實(shí)習(xí)期間雖然沒直接上手，但通過應(yīng)急響應(yīng)和師傅們的討論，也看到了這些趨勢(shì)的厲害。比如那次SQL注入事件，根源是第三方腳本沒做過濾，就凸顯了生態(tài)安全的重要性。未來打算接著深化這些方向，特別是想搞懂云安全那塊，可能接下來會(huì)去考個(gè)AWS或CKA的認(rèn)證，把實(shí)習(xí)中學(xué)到的東西系統(tǒng)化。這段經(jīng)歷確實(shí)給我打下了基礎(chǔ)，也讓我更有信心去拼下一程，感覺每經(jīng)歷一次挑戰(zhàn)，自己就變強(qiáng)一點(diǎn)，挺有動(dòng)力的。

四、致謝

感謝這次實(shí)習(xí)的機(jī)會(huì)，讓我在2023年7月1日到8月31日期間，能參與到一個(gè)真實(shí)的網(wǎng)絡(luò)安全環(huán)境里。謝謝導(dǎo)師耐心帶著我熟悉流程，特別是幫我解決那個(gè)接口認(rèn)證難題的時(shí)候，給了我不少啟發(fā)。和團(tuán)隊(duì)里其他同事的