軟件工程互聯(lián)網(wǎng)安全公司安全實習(xí)報告一、摘要2023年7月1日至2023年8月31日，我在一家專注于互聯(lián)網(wǎng)安全的軟件工程公司擔(dān)任安全實習(xí)生，職位為安全研發(fā)助理。核心工作成果包括協(xié)助完成5個Web應(yīng)用的安全漏洞掃描，識別并修復(fù)23個中高危漏洞，參與3次安全應(yīng)急響應(yīng)，提交2份詳細(xì)的安全分析報告。期間應(yīng)用了OWASPTop10、BurpSuite、Nessus等工具進(jìn)行滲透測試和漏洞分析，熟練掌握了漏洞復(fù)現(xiàn)、日志分析和安全策略優(yōu)化的技能。提煉出可復(fù)用的漏洞管理方法論，通過自動化腳本將常規(guī)掃描效率提升30%，形成標(biāo)準(zhǔn)化漏洞處理流程，為團(tuán)隊后續(xù)工作提供數(shù)據(jù)化參考。二、實習(xí)內(nèi)容及過程2023年7月1日到8月31日，我在一家做互聯(lián)網(wǎng)安全的企業(yè)實習(xí)，職位是安全研發(fā)助理。主要是跟著師傅們做安全測試和漏洞修復(fù)。開始幾天先熟悉公司用的工具，像OWASPZAP、Nessus這些，還看了他們以前做的項目文檔，大概花了兩周時間。第3周開始獨立負(fù)責(zé)一個電商平臺的掃描任務(wù)，用BurpSuite抓包分析，發(fā)現(xiàn)23個漏洞，其中5個是高危的，比如SQL注入、跨站腳本（XSS）。有個XXS漏洞挺麻煩的，參數(shù)在URL里，需要手動構(gòu)造payload，試了好幾種才找到觸發(fā)點，師傅教我用Burp的Repeater功能反復(fù)調(diào)試，最后用補丁驗證確認(rèn)了修復(fù)效果。這周還參與了應(yīng)急響應(yīng)，幫另一個團(tuán)隊處理一個被攻擊的服務(wù)器，分析日志發(fā)現(xiàn)是弱口令登錄進(jìn)來的，用Metasploit生成shell確認(rèn)了情況，花了不到12小時把系統(tǒng)加固好。中間有次做掃描報告被領(lǐng)導(dǎo)說不夠細(xì)，漏了幾個邏輯漏洞，后來我專門研究了業(yè)務(wù)邏輯驗證方法，把流程圖畫出來，再對照著掃描結(jié)果查，之后提交的報告就沒被修改過。實習(xí)最后兩周參與了一個內(nèi)網(wǎng)滲透測試項目，目標(biāo)是模擬黑客攻擊，但我發(fā)現(xiàn)他們的堡壘機策略太死板，很多正常操作都被攔截了，導(dǎo)致測試效率特別低。我就提議調(diào)整下白名單規(guī)則，加了幾個必要的端口和命令，師傅們采納后速度明顯快了，整個測試周期縮短了接近一周。這段經(jīng)歷讓我明白安全工作不光要懂技術(shù)，還得懂怎么優(yōu)化流程。三、總結(jié)與體會這8周在公司的經(jīng)歷，讓我把書里學(xué)的安全知識跟實際工作聯(lián)系起來，感覺收獲特別大。以前看漏洞報告只是覺得數(shù)字多，現(xiàn)在自己動手找過23個漏洞，從SQL注入到XXS，每個都懂了為啥會出，怎么修復(fù)才徹底。印象最深的是那個電商平臺的XSS，一開始參數(shù)試了半天沒反應(yīng)，后來師傅教我用Burp的Repeater慢慢調(diào)試，發(fā)現(xiàn)是URL參數(shù)帶過來的，這才明白手動構(gòu)造payload不是瞎猜。這種細(xì)節(jié)上的指導(dǎo)，比學(xué)校老師講理論實在多了。實習(xí)最大的改變是我的心態(tài)。以前覺得寫代碼就行，安全是另外的東西，現(xiàn)在明白這倆是綁一塊的。有個次周應(yīng)急響應(yīng)，凌晨三點接到電話，服務(wù)器被弱口令攻進(jìn)去了，當(dāng)時特別慌，但跟著師傅們一步步查日志、回溯操作、加固系統(tǒng)，不到12小時就解決了。那種緊張感現(xiàn)在想起來還挺刺激，也懂了什么叫責(zé)任。這次經(jīng)歷也讓我更清楚自己想干嘛。公司那套漏洞管理流程，從掃描到定級到修復(fù)跟蹤，特別規(guī)范，我回去就想把大學(xué)的項目也整這么專業(yè)。本來想畢業(yè)后隨便找個工作，現(xiàn)在覺得得往專精方向發(fā)展，打算明年考個CISSP，先把云安全這塊補上。行業(yè)現(xiàn)在都在講零信任、SASE，公司用的那些東西也印證了，技術(shù)這東西不學(xué)真不行。最重要的是，我現(xiàn)在覺得學(xué)東西得有點緊迫感，學(xué)校那套太慢了，企業(yè)需要的是能直接上手解決問題的。接下來的學(xué)習(xí)，肯定得往實戰(zhàn)上靠，多刷題多動手，爭取以后面試能少被問“你會啥”。這段經(jīng)歷就像打了針，提醒我別再混日子了。四、致謝在公司這8周，真的挺感謝帶我的師傅，他教我找漏洞那股認(rèn)真勁兒，我現(xiàn)在還記得。還有團(tuán)隊里其他同事，他們給我分享的內(nèi)網(wǎng)滲透資料特別有用，那幾次模擬攻擊要不是他們指點，我可能還得走不少彎路。公司提供的環(huán)境也好，能接觸到實際項目，