網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)安全實(shí)習(xí)生實(shí)習(xí)報(bào)告一、摘要

2023年6月5日至8月23日，我在XX公司網(wǎng)絡(luò)安全部門(mén)擔(dān)任實(shí)習(xí)生，負(fù)責(zé)協(xié)助完成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和漏洞掃描工作。通過(guò)參與15次企業(yè)級(jí)網(wǎng)絡(luò)安全演練，累計(jì)完成236臺(tái)服務(wù)器和移動(dòng)端的漏洞掃描，識(shí)別并修復(fù)高危漏洞87個(gè)，降低系統(tǒng)風(fēng)險(xiǎn)評(píng)分32%。應(yīng)用OWASPZAP工具進(jìn)行滲透測(cè)試，發(fā)現(xiàn)并提交15個(gè)安全漏洞，其中3個(gè)被納入公司年度安全加固計(jì)劃。期間，運(yùn)用Nmap和Wireshark分析網(wǎng)絡(luò)流量，優(yōu)化了內(nèi)部防火墻策略，使非法訪問(wèn)攔截率提升至89%?？偨Y(jié)出基于資產(chǎn)風(fēng)險(xiǎn)控制模型的動(dòng)態(tài)安全評(píng)估方法論，可復(fù)用于中小型企業(yè)安全基線搭建，通過(guò)腳本自動(dòng)化處理重復(fù)性任務(wù)，效率提升40%。

二、實(shí)習(xí)內(nèi)容及過(guò)程

2023年6月5日至8月23日，我在XX公司的安全團(tuán)隊(duì)實(shí)習(xí)，主要目標(biāo)是把學(xué)校學(xué)的安全知識(shí)跟實(shí)際工作搭上鉤，看看企業(yè)是怎么落地安全防護(hù)的。

公司是做金融科技的，系統(tǒng)比較復(fù)雜，數(shù)據(jù)敏感度高，整個(gè)團(tuán)隊(duì)也就十來(lái)個(gè)人，搞各種安全產(chǎn)品和服務(wù)。我跟著師傅做了8周，核心是幫著做風(fēng)險(xiǎn)評(píng)估和漏洞管理。

第3周開(kāi)始上手，跟著師傅做了一次內(nèi)部系統(tǒng)的滲透測(cè)試，對(duì)象是他們的CRM系統(tǒng)。用Nmap掃了120個(gè)IP，發(fā)現(xiàn)5個(gè)高危漏洞，主要是SSRF和跨站腳本，當(dāng)時(shí)挺懵的，完全沒(méi)想到這些老系統(tǒng)還有這么多問(wèn)題。師傅就教我用OWASPZAP抓包分析，慢慢就摸清了思路。最后提交了3個(gè)高危漏洞，公司那邊直接給修復(fù)了，還把我寫(xiě)的分析報(bào)告當(dāng)培訓(xùn)材料用了。

第6周參與了一個(gè)項(xiàng)目，給新上線的小程序做安全測(cè)試。因?yàn)闀r(shí)間緊，要覆蓋的功能多，一開(kāi)始手忙腳亂。后來(lái)想起學(xué)校做的安全靶場(chǎng)實(shí)驗(yàn)，把動(dòng)態(tài)和靜態(tài)測(cè)試結(jié)合起來(lái)，先掃了一波靜態(tài)代碼，發(fā)現(xiàn)4處硬編碼的密鑰，這種低級(jí)錯(cuò)誤真是不好意思。接著用AppScan搞動(dòng)態(tài)測(cè)試，又挖出來(lái)10個(gè)邏輯漏洞，師傅說(shuō)要是早點(diǎn)這么干，能省不少事。最后報(bào)告提交上去，產(chǎn)品那邊連夜改了3個(gè)，說(shuō)要是沒(méi)發(fā)現(xiàn)，用戶數(shù)據(jù)估計(jì)要遭殃。

過(guò)程里最難的是跟業(yè)務(wù)部門(mén)對(duì)接，他們不懂安全，溝通起來(lái)特別費(fèi)勁。有一次要測(cè)試一個(gè)支付接口，業(yè)務(wù)說(shuō)功能沒(méi)問(wèn)題，但我發(fā)現(xiàn)參數(shù)沒(méi)做校驗(yàn)，直接把訂單號(hào)給吐出來(lái)了。我磨了兩天嘴皮子，才讓他們同意加個(gè)脫敏措施。這種事多了，就明白安全不是光靠技術(shù)能解決的，得會(huì)說(shuō)話。

團(tuán)隊(duì)里有個(gè)師傅特別厲害，教我不少東西。他說(shuō)現(xiàn)在攻擊者都喜歡用供應(yīng)鏈攻擊，我們就搞了個(gè)東西，給第三方服務(wù)商做滲透測(cè)試，發(fā)現(xiàn)他們代碼里有個(gè)SQL注入，要是被利用了，我們整個(gè)系統(tǒng)都得完?duì)僮?。這件事讓我意識(shí)到，安全真的得全員參與。

最大的收獲是學(xué)會(huì)怎么寫(xiě)安全報(bào)告，以前寫(xiě)實(shí)驗(yàn)報(bào)告跟寫(xiě)安全報(bào)告差遠(yuǎn)了?，F(xiàn)在知道怎么用數(shù)據(jù)和案例說(shuō)話，比如那次CRM測(cè)試，我把漏洞的危害、復(fù)現(xiàn)步驟、影響范圍都寫(xiě)得明明白白，師傅看了直夸。還有就是學(xué)會(huì)用腳本提高效率，我用Python寫(xiě)了個(gè)自動(dòng)掃描腳本，把重復(fù)性的工作給干掉了，效率確實(shí)高了不少。

困難主要是時(shí)間太趕，有一次做風(fēng)險(xiǎn)評(píng)估，本來(lái)計(jì)劃一周，結(jié)果只給了3天。那時(shí)候真是頭發(fā)都快薅禿了，最后只能挑重要的來(lái)搞，一些邊緣問(wèn)題就先放放。后來(lái)想想，這就是實(shí)戰(zhàn)吧，總不能啥都面面俱到。

公司里感覺(jué)管理有點(diǎn)亂，新人沒(méi)明確培訓(xùn)計(jì)劃，全靠師傅帶。我來(lái)了8周，就跟著一個(gè)師傅，要是能輪流接觸幾個(gè)方向的同事，估計(jì)成長(zhǎng)更快。另外，測(cè)試環(huán)境跟生產(chǎn)環(huán)境差太多，好幾次發(fā)現(xiàn)測(cè)試環(huán)境能過(guò)的漏洞，到真系統(tǒng)上根本利用不了，有點(diǎn)浪費(fèi)時(shí)間。

我建議他們搞個(gè)安全知識(shí)庫(kù)，把常見(jiàn)問(wèn)題、修復(fù)方案都記下來(lái)，這樣新來(lái)的能快速上手。還有就是測(cè)試環(huán)境得跟生產(chǎn)像點(diǎn)，至少核心配置得一致，不然發(fā)現(xiàn)的問(wèn)題沒(méi)什么參考價(jià)值。

這次實(shí)習(xí)讓我看清了自己的短板，比如應(yīng)急響應(yīng)這塊，完全沒(méi)經(jīng)驗(yàn)。學(xué)校學(xué)的理論多，但真遇到攻擊，啥也使不上。以后得多看多練，爭(zhēng)取把短板補(bǔ)上。總的來(lái)說(shuō)，這次經(jīng)歷挺值的，至少知道以后該往哪個(gè)方向努力了。

三、總結(jié)與體會(huì)

這8周在XX公司的經(jīng)歷，就像把書(shū)本上的安全知識(shí)扔進(jìn)水里，看著它變成實(shí)實(shí)在在的氣泡，知道哪些能浮起來(lái)，哪些沉底得撈。從6月5號(hào)開(kāi)始，到8月23號(hào)結(jié)束，我不再是光會(huì)講TLS握手啥的，而是真的見(jiàn)過(guò)生產(chǎn)環(huán)境里的應(yīng)急響應(yīng)，摸過(guò)真實(shí)的資產(chǎn)清單。

實(shí)習(xí)的價(jià)值閉環(huán)是清晰的。剛?cè)サ臅r(shí)候，連資產(chǎn)清點(diǎn)都做不好，系統(tǒng)名字都記不住，師傅讓我掃個(gè)網(wǎng)段，掃了半天不知道對(duì)不對(duì)。后來(lái)跟著做風(fēng)險(xiǎn)評(píng)估報(bào)告，把資產(chǎn)、威脅、脆弱性、控制措施連起來(lái)寫(xiě)，一遍遍改，最后交上去人家能用，那一刻就覺(jué)得，嘿，我好像真的學(xué)成了點(diǎn)東西。比如那次給CRM系統(tǒng)寫(xiě)滲透報(bào)告，從發(fā)現(xiàn)SSRF到寫(xiě)復(fù)現(xiàn)步驟，每一個(gè)點(diǎn)都摳得很細(xì)，最后公司居然用了我的版本，這比在學(xué)校做實(shí)驗(yàn)得到滿分還高興。這種把技術(shù)轉(zhuǎn)化為實(shí)際產(chǎn)出的感覺(jué)，就是實(shí)習(xí)最大的價(jià)值。

這次經(jīng)歷直接改寫(xiě)了我的職業(yè)規(guī)劃。以前覺(jué)得做安全就是搞搞漏洞，現(xiàn)在明白安全是個(gè)體系活，得懂業(yè)務(wù)、懂管理、還得會(huì)溝通。我在公司里最怕跟業(yè)務(wù)部門(mén)開(kāi)會(huì)，一問(wèn)三不知，后來(lái)逼著自己去看他們的產(chǎn)品文檔，慢慢能接話了。這讓我意識(shí)到，以后想做好安全，光懂技術(shù)遠(yuǎn)遠(yuǎn)不夠。我打算下學(xué)期考個(gè)CISSP，把管理這塊補(bǔ)上，同時(shí)也在看內(nèi)網(wǎng)滲透相關(guān)的資料，想往這個(gè)方向發(fā)展。實(shí)習(xí)讓我看清了，安全這行，不是一個(gè)人能搞定的，得整個(gè)團(tuán)隊(duì)協(xié)作。

看著公司每天收到的威脅情報(bào)，才真切感受到攻擊者有多瘋狂。他們用的技術(shù)，很多都是學(xué)校實(shí)驗(yàn)里搞過(guò)的，但組合起來(lái)就完全不一樣了。比如上次看到的供應(yīng)鏈攻擊，就是利用第三方軟件的漏洞，直接打進(jìn)來(lái)。這讓我明白，安全這東西，永遠(yuǎn)在攻防兩端賽跑，學(xué)校教的都是基礎(chǔ)，得持續(xù)跟進(jìn)行業(yè)動(dòng)態(tài)。現(xiàn)在很多大廠都在搞零信任，微隔離，這些都是趨勢(shì)。我打算多關(guān)注這些方向，爭(zhēng)取實(shí)習(xí)經(jīng)驗(yàn)?zāi)軒蜕虾罄m(xù)求職的忙。

心態(tài)轉(zhuǎn)變是真的。以前做實(shí)驗(yàn)，卡殼了就問(wèn)老師，現(xiàn)在在實(shí)習(xí)，發(fā)現(xiàn)個(gè)高危漏洞，腦子里第一個(gè)念頭是“這要是被利用了怎么辦”，責(zé)任感一下子就來(lái)了。比如有一次掃服務(wù)器，發(fā)現(xiàn)個(gè)配置錯(cuò)誤，直接暴露了內(nèi)部管理賬號(hào)，當(dāng)時(shí)手心都出汗了，趕緊寫(xiě)郵件給師傅，然后一起給修復(fù)了。這種壓力，現(xiàn)在想想挺爽的。抗壓能力也強(qiáng)了不少，以前做項(xiàng)目，拖兩天就急得不行，現(xiàn)在跟業(yè)務(wù)磨了3天嘴皮子，為了一個(gè)測(cè)試需求，覺(jué)得也能扛。

未來(lái)肯定要把實(shí)習(xí)經(jīng)驗(yàn)用起來(lái)。師傅教我的那些腳本，我現(xiàn)在還在用，效率確實(shí)高。我打算把這次做的風(fēng)險(xiǎn)評(píng)估方法論整理成文檔，以后面試能直接用。同時(shí)也在補(bǔ)補(bǔ)短板，比如應(yīng)急響應(yīng)這塊，公司搞演練的時(shí)候我就在旁邊看，把流程都記下來(lái)。實(shí)習(xí)讓我明白，安全這行，學(xué)無(wú)止境，現(xiàn)在感覺(jué)自己就是個(gè)剛學(xué)走路的娃，路還長(zhǎng)著呢。下個(gè)目標(biāo)，是爭(zhēng)取在年底前拿下CISSP，把理論知識(shí)跟實(shí)戰(zhàn)經(jīng)驗(yàn)真正擰成一股繩。

四、致謝

在XX公司這8周的實(shí)習(xí)經(jīng)歷，離不開(kāi)不少人的幫助。

師傅，特別感謝你耐心地帶我從頭學(xué)起，那些漏洞分析的小技巧，還有怎么跟人打交道，都是你教我的。跟著你干，才知道安全不只是代碼和命令行。

團(tuán)隊(duì)里的幾個(gè)同事，一起搞風(fēng)險(xiǎn)評(píng)估的時(shí)候，你們提的建議特別中用，還有那個(gè)老哥，教我用了幾個(gè)高效的小工