計算機科學專業(yè)XX互聯(lián)網(wǎng)安全公司網(wǎng)絡安全工程師實習報告一、摘要2023年7月10日至2023年8月25日，我在XX互聯(lián)網(wǎng)安全公司擔任網(wǎng)絡安全工程師實習生，負責協(xié)助完成網(wǎng)絡安全漏洞掃描與修復工作。核心工作成果包括：完成200個Web應用模塊的滲透測試，發(fā)現(xiàn)并提交高危漏洞32個，其中SQL注入漏洞15個，跨站腳本漏洞8個，配置錯誤漏洞9個，全部漏洞均在5個工作日內修復。期間應用了Nmap、Wireshark、BurpSuite等工具進行網(wǎng)絡流量分析，通過編寫Python腳本自動化掃描流程，將常規(guī)掃描效率提升40%。提煉出可復用的漏洞管理方法論：建立漏洞分級標準，采用“風險評分×影響系數(shù)”模型評估漏洞危害，形成動態(tài)修復優(yōu)先級隊列，確保資源聚焦高價值問題。二、實習內容及過程1實習目的去XX互聯(lián)網(wǎng)安全公司實習，主要是想看看自己學的網(wǎng)絡安全知識在真實世界怎么用，能不能幫上什么忙，順便感受下工作節(jié)奏，看看自己喜不喜歡這份工作。2實習單位簡介我們實習的公司主要做Web應用安全防護，客戶不少是電商和在線教育那種，業(yè)務挺多，對安全要求也高。他們團隊不大，但每個人都挺忙的，技術氛圍挺濃。3實習內容與過程我跟著團隊做漏洞掃描和報告編寫。剛去那會兒，主要是熟悉環(huán)境，學用他們的掃描平臺和漏洞管理系統(tǒng)。7月15號開始獨立負責幾個客戶的滲透測試任務。具體來說，就是用Nmap掃端口和版本，再用BurpSuite抓包分析流量，看看有沒有SQL注入、XSS或者SSRF這些常見問題。比如有個客戶的電商平臺，我在8月2號測試時發(fā)現(xiàn)商品詳情頁有存儲型XSS，輸入惡意腳本后，數(shù)據(jù)庫能存下內容，再通過鏈接訪問就能導致SSRF，我把這個情況寫進了報告，客戶那邊3天就給修復了。整個過程要記錄每步操作，截圖留證，還得跟客戶溝通漏洞的危害和修復建議。團隊里還有個師傅教我寫Python腳本，把掃描流程自動化了一點，本來手動測試一個模塊要1小時，自動化后只要15分鐘，效率確實高。4實習成果與收獲8周里，我參與測試了200多個模塊，提交了32個漏洞，高危9個，中危15個，低危8個，全部都有回補。自己寫的腳本幫團隊省了不少時間。最大的收獲是明白安全工作不是拍腦袋的，得一步步來，每個細節(jié)都可能出問題。比如有一次測試某個支付接口，發(fā)現(xiàn)一個權限繞過，原來是某個API參數(shù)沒做驗證，改改值就能繞過登錄直接下單，這種問題特別隱蔽。困難方面，剛開始對業(yè)務邏輯理解不深，導致掃描效率不高，有些明明該有的過濾都沒注意。后來就多看案例，多問師傅，慢慢就好了。還有一次寫腳本時踩坑，一個正則表達式用得不對，漏掃了一半模塊，花了兩天才找到問題。所以現(xiàn)在寫東西前總要反復測幾遍。5問題與建議公司這邊管理上有點亂，比如項目文檔更新不及時，有時候得回頭找舊版本；培訓機制也一般，新人就是自己摸索，要是能有個系統(tǒng)的培訓手冊就好了。崗位匹配度上，我覺得我可以學得更深入些，比如對某些加密算法或者逆向工程這塊，公司要是能提供些進階培訓，我可能會更有用。三、總結與體會1實習價值閉環(huán)這8周實習，感覺自己像個零件被裝進了機器。7月10號剛去時，面對真實的業(yè)務系統(tǒng)和客戶需求，一開始有點懵，但很快就上手了。我負責的那批客戶里，有家做在線教育的，他們的系統(tǒng)用了不少緩存機制，我通過分析WAF日志發(fā)現(xiàn)一個邊緣的緩存未命中攻擊，雖然影響不大，但當時就覺得挺有意思，后來結合師傅教的思路，寫了段腳本去挖掘類似問題，最后提交了5個相關的優(yōu)化建議，客戶那邊反饋說確實幫他們堵住了幾個潛在的性能風險。這種從發(fā)現(xiàn)問題到提出解決方案再到看到實際效果的過程，讓我覺得特別值。最直接的收獲是技能上的。之前學WP（漏洞挖掘）主要靠案例，這次寫腳本用到了Python的幾個庫，比如requests和re，一開始寫得很慢，后來看團隊大佬們的代碼才明白怎么優(yōu)化，現(xiàn)在自己寫工具也能跑得快了。還有對業(yè)務的理解，比如電商系統(tǒng)必有的優(yōu)惠券、秒殺這些功能，其實隱藏著不少邏輯漏洞，這次就踩中過幾次，好在及時發(fā)現(xiàn)了。2職業(yè)規(guī)劃聯(lián)結這次經歷讓我更想往滲透測試方向發(fā)展了。之前覺得安全就是個黑盒，現(xiàn)在接觸多了才明白，安全工作得懂業(yè)務、懂技術，還得會溝通。比如寫漏洞報告時，要結合客戶的業(yè)務場景，把技術細節(jié)翻譯成他們能懂的話，這活兒挺考驗能力的。我打算下學期重點補補TCP/IP和加密這塊，順便準備個OSCP認證，感覺手里有個證書心里踏實不少。公司那個師傅說現(xiàn)在招人看綜合能力，除了會工具，還得有學習能力，這提醒我得持續(xù)充電。3行業(yè)趨勢展望感覺現(xiàn)在安全行業(yè)變化很快，特別是云原生和AI這塊，我在實習時看到好幾個客戶都在用容器化部署，隨之而來的安全問題也多了，比如容器逃逸、鏡像篡改這些，感覺都是未來的重點。團隊里有人在做機器學習識別惡意流量，我雖然沒太深入，但聽了介紹就覺得挺酷的。未來可能安全工作不只是找漏洞了，還得會搞自動化、會利用AI反制，這要求人得不斷學習。我最近在啃一本關于紅隊工具鏈的書，希望能跟上這個節(jié)奏。4心態(tài)轉變最大的變化是心態(tài)。以前做實驗，改一行代碼跑一下就行，現(xiàn)在寫個腳本要考慮健壯性、效率，還得擔心會不會誤傷正常業(yè)務，這種責任感是以前沒有的。比如有一次半夜客戶那邊報緊急情況，說某個接口被攻擊了，雖然不是重大事故，但團隊連夜排查，我也跟著加班加點查日志，最后定位到是某個第三方組件版本太舊，導致的問題。雖然最后沒我直接責任，但那種一起扛事兒的經歷，讓我覺得工作不只是為自己，也得為團隊、為客戶負責。抗壓能力確實鍛煉了。四、致謝1感謝在實習期間給予我指導和幫助的各位。特別感謝帶我的師傅，他不僅教會了我很多實用的技術，比如如何高效地分析流量日志，還分享了不少行業(yè)內的經驗，讓我對漏洞挖掘有了更深的理解。團隊里的同事也幫了不少忙，尤其是小張，他教了我不少Python腳本編寫的技巧，那些工具化思路對我啟發(fā)很大。2感謝學校指導