互聯(lián)網(wǎng)安全公司網(wǎng)絡(luò)安全實(shí)習(xí)生實(shí)習(xí)報(bào)告一、摘要

2023年7月1日至2023年8月31日，我在一家互聯(lián)網(wǎng)安全公司擔(dān)任網(wǎng)絡(luò)安全實(shí)習(xí)生。核心工作成果包括協(xié)助團(tuán)隊(duì)完成15個(gè)網(wǎng)絡(luò)漏洞掃描任務(wù)，其中3個(gè)高危漏洞被成功修復(fù)并提交至漏洞平臺(tái)；參與編寫(xiě)2份安全策略文檔，涉及用戶權(quán)限管理及數(shù)據(jù)傳輸加密部分；獨(dú)立完成5次安全意識(shí)培訓(xùn)，覆蓋部門(mén)員工200余人。專業(yè)技能應(yīng)用上，熟練運(yùn)用Nmap、Wireshark等工具進(jìn)行流量分析，通過(guò)KaliLinux環(huán)境搭建完成對(duì)SQL注入、跨站腳本（XSS）的實(shí)戰(zhàn)演練。提煉出可復(fù)用的安全檢測(cè)方法論：結(jié)合自動(dòng)化腳本與人工滲透測(cè)試，漏洞修復(fù)需遵循“風(fēng)險(xiǎn)評(píng)級(jí)影響范圍緊急程度”三維度優(yōu)先級(jí)排序，確保問(wèn)題閉環(huán)管理。

二、實(shí)習(xí)內(nèi)容及過(guò)程

2023年7月1日到8月31日，我在一家做網(wǎng)絡(luò)安全這塊兒的公司實(shí)習(xí)。他們主要幫企業(yè)搞滲透測(cè)試、應(yīng)急響應(yīng)、安全體系建設(shè)。我跟著團(tuán)隊(duì)做了不少事，感覺(jué)挺有收獲的。

7月中旬開(kāi)始，我參與了個(gè)網(wǎng)站安全評(píng)估項(xiàng)目，給客戶那邊10個(gè)線上系統(tǒng)做測(cè)試。用了Nessus掃了漏洞，發(fā)現(xiàn)3個(gè)高危的，一個(gè)是SQL注入，另一個(gè)是文件上傳漏洞，還有一個(gè)是配置錯(cuò)誤。我跟師傅們一起分析，最后我負(fù)責(zé)寫(xiě)修復(fù)方案，師傅們看了挺滿意的。期間還用到了BurpSuite抓包分析，對(duì)請(qǐng)求參數(shù)那種看得更清楚。8月初，我單獨(dú)弄了個(gè)內(nèi)網(wǎng)滲透實(shí)驗(yàn)，從網(wǎng)段192.168.1.0/24開(kāi)始，用了Metasploit搞了兩個(gè)shell，最后做了個(gè)報(bào)告，領(lǐng)導(dǎo)說(shuō)還行。

實(shí)習(xí)里遇到的最大坎兒是7月下旬那個(gè)項(xiàng)目，客戶系統(tǒng)環(huán)境特別復(fù)雜，舊系統(tǒng)多，日志亂七八糟的。剛開(kāi)始完全沒(méi)頭緒，感覺(jué)像在黑暗里摸。后來(lái)師傅讓我先把所有日志導(dǎo)出來(lái)，用ELK堆棧（Elasticsearch、Logstash、Kibana）搭了個(gè)分析環(huán)境，過(guò)濾關(guān)鍵詞，畫(huà)了幾個(gè)流量圖才慢慢找到線索。這下明白，對(duì)付這種亂局，工具得用對(duì)，還得懂點(diǎn)逆向思維。

培訓(xùn)這塊兒，公司沒(méi)怎么系統(tǒng)教，都是師傅帶。有時(shí)候覺(jué)得吧，他們內(nèi)部流程可以優(yōu)化下，比如安全事件響應(yīng)那套手冊(cè)，寫(xiě)得太理論化，實(shí)際操作起來(lái)好多地方得現(xiàn)查現(xiàn)補(bǔ)。建議他們多搞點(diǎn)實(shí)戰(zhàn)演練，或者把手冊(cè)跟實(shí)際案例結(jié)合著講。

崗位匹配度上，我學(xué)到了不少東西，但感覺(jué)對(duì)云安全這塊了解還不夠深，公司那塊業(yè)務(wù)我接觸得不多。以后打算補(bǔ)補(bǔ)AWS、Azure那邊的內(nèi)容。這次實(shí)習(xí)讓我覺(jué)得，安全這行，技術(shù)得跟上，但溝通協(xié)調(diào)也很重要。比如給客戶解釋漏洞影響，得說(shuō)他們能聽(tīng)懂的話。職業(yè)規(guī)劃上，我想往滲透測(cè)試或者安全顧問(wèn)方向發(fā)展，先得把基礎(chǔ)打牢。

三、總結(jié)與體會(huì)

這8周，從7月1號(hào)到8月31號(hào)，在公司的經(jīng)歷讓我對(duì)網(wǎng)絡(luò)安全有了更實(shí)體的認(rèn)識(shí)。以前看的東西都是書(shū)本或者視頻，現(xiàn)在真動(dòng)手了，感覺(jué)完全不一樣。

實(shí)習(xí)的價(jià)值是實(shí)實(shí)在在的。比如我參與的那個(gè)項(xiàng)目，為客戶找到3個(gè)高危漏洞，最后都修復(fù)了，這比紙上談兵有成就感多了。我用Nessus、BurpSuite這些工具，還參與了ELK日志分析，這些操作不是老師隨便講講就能會(huì)的，真得自己上手。比如7月那個(gè)復(fù)雜內(nèi)網(wǎng)滲透任務(wù)，開(kāi)始時(shí)完全懵，后來(lái)師傅教我用Metasploit并結(jié)合流量分析，最后找到了入口，這個(gè)過(guò)程讓我明白，理論結(jié)合實(shí)踐有多重要。15個(gè)漏洞掃描任務(wù)，5次安全培訓(xùn)，這些數(shù)字背后是具體的工作，是客戶的安全得到了保障，這讓我覺(jué)得實(shí)習(xí)沒(méi)白費(fèi)。

這次經(jīng)歷直接影響了我的職業(yè)想法。之前覺(jué)得搞安全就是會(huì)點(diǎn)工具，現(xiàn)在明白，安全顧問(wèn)、滲透工程師都需要很強(qiáng)的溝通能力和體系思維。我發(fā)現(xiàn)自己對(duì)應(yīng)急響應(yīng)挺感興趣，以后打算深挖這塊。實(shí)習(xí)也讓我意識(shí)到，學(xué)校里學(xué)的知識(shí)是基礎(chǔ)，但遠(yuǎn)遠(yuǎn)不夠。比如他們用的某些云安全配置，我完全沒(méi)接觸過(guò)。接下來(lái)打算去啃AWS、Azure的相關(guān)文檔，看看能不能考個(gè)認(rèn)證，比如AWSCertifiedSecurity–Specialty，給簡(jiǎn)歷加分。

行業(yè)這東西變化快得很，每天新漏洞、新攻擊手法就沒(méi)停過(guò)。感覺(jué)人工智能、物聯(lián)網(wǎng)發(fā)展起來(lái)，安全挑戰(zhàn)只會(huì)越來(lái)越大。這次實(shí)習(xí)讓我看到，安全人員得持續(xù)學(xué)習(xí)，不能停。像SANS、BlackHat這種會(huì)議的內(nèi)容，以后得多關(guān)注。從學(xué)生到職場(chǎng)人的感覺(jué)挺奇妙的，以前做項(xiàng)目就是自己爽就行，現(xiàn)在得考慮成本、效率，還得跟團(tuán)隊(duì)、客戶溝通。責(zé)任感明顯重了，遇到問(wèn)題不敢拖，抗壓能力也強(qiáng)了點(diǎn)。這種心態(tài)轉(zhuǎn)變，我覺(jué)得比學(xué)會(huì)幾個(gè)工具更寶貴。總之，這段經(jīng)歷就是給我上了堂生動(dòng)的職場(chǎng)課，也指明了以后努力的方向。

四、致謝

在公司這8個(gè)多月，特別感謝我的導(dǎo)師，給我機(jī)會(huì)跟著團(tuán)隊(duì)干活，從漏洞分析到報(bào)告編寫(xiě)，每一步都耐心指導(dǎo)。那些