互联网安全公司网络安全实习报告

互联网安全公司网络安全实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家互联网安全公司担任网络安全实习生，负责协助团队进行漏洞扫描、日志分析和应急响应工作。期间，累计完成200+次漏洞扫描，发现并修复35处高危漏洞，其中10处被权威平台收录。通过应用OWASPZAP和Nessus工具，优化了扫描流程，使平均修复周期缩短至3天内。参与编写了5份安全分析报告，运用SIEM系统（如Splunk）处理了日均1万+条日志，定位3起内部异常访问事件。提炼出基于机器学习的异常行为检测方法论，可复用于同类场景，将误报率降低20%。

二、实习内容及过程

1.实习目的

希望通过实践了解真实网络安全工作场景，掌握漏洞分析、日志审计等基础技能，熟悉安全工具使用和应急响应流程。

2.实习单位简介

我在一家做云安全服务的公司实习，主要是帮团队处理客户系统的扫描和加固任务，系统类型包括Web应用、API和混合云环境。

3.实习内容与过程

主要负责漏洞扫描执行和结果分析，每周完成1015个客户的例行扫描，用Nessus和ZAP工具，记录每个系统的开放端口和协议指纹。

8周里处理了200+次扫描报告，重点检查高危漏洞，比如发现一个客户系统用的中间件版本有已知命令执行漏洞，直接导致3个环境被列入黑名单。

参与了2次应急响应，一次是某系统被暴力破解导致密码泄露，我们用了账户行为分析工具，通过IP地理位置和登录时间戳定位到内部员工误操作；另一次是检测到DDoS攻击，用云平台的流量清洗服务，2小时内让正常业务恢复80%。

编写了5份安全周报，每份包含客户系统漏洞趋势图，比如某客户系统漏洞数环比下降18%，主要是我们推动他们升级了3个过时插件。

4.实习成果与收获

成果上，累计修复35处高危漏洞，其中10个被NVD收录，客户满意度提升25%。

收获是学会了怎么用SIEM工具做关联分析，之前在学校做实验都是单点看数据，这次发现用Splunk的eai模块把日志和告警关联后，能提前30分钟发现异常。

挑战是初期对云环境不熟，比如AWS和Azure的访问控制策略完全不一样，花了2周时间才搞懂怎么用IAM权限模拟攻击。最后是把公司内部的安全文档整理成工具手册，以后新人能直接上手。

5.问题与建议

挑战上最大的困难是工具链整合，公司用Nessus+Splunk+ZAP，但各系统间数据没打通，分析漏洞时得手动导数据。

我建议可以建个统一的日志平台，现在各客户日志还在用S3和本地文件，查询效率低。

实习单位管理上，新人培训只有3天集中讲，后面完全靠导师带，但导师自己也比较忙，有时候问题要等半天才有回应。可以多搞点线上沙箱环境，让我们先练手。

岗位匹配度上，我学得最多的是漏洞扫描执行，但实际业务需求是能独立做渗透测试，这块没机会接触，希望后续能增加这类实践。

三、总结与体会

1.实习价值闭环

这8周实习像把书里的理论装进了脑子里。7月1号刚来时，对WAF策略怎么写还是懵的，后来参与处理一个SQL注入事件，看到师傅把规则从`wafrule:urlcontains'union'`改成更精准的`wafrule:methodgetandurlcontains'union'andheaderuseragentnotcontains'Bot'`，才明白颗粒度有多重要。现在再看漏洞扫描报告，能直接把高危项和业务场景对上号，比如发现某个接口返回了内部构建参数，立刻联想到可能是供应链攻击的入口，这种思维闭环是学校里模拟实验给不了的。

35个漏洞修复记录里，最让我有成就感的是那个被忽略的权限绕过，客户系统用了OAuth2.0，但刷新token逻辑有跨域漏洞，我花了3天逆向分析，最后用Postman模拟攻击，把漏洞细节和修复建议写成文档发给客户时，他们回邮件说这个点以前渗透队都没踩到。这种把0和1变成业务价值的体验，让我觉得学的东西真有用。

2.职业规划联结

实习最大的收获是看清了自己要什么。之前想搞纯研究，现在觉得更想做安全运营，特别是云原生安全这块。8月25号那天晚上，我看着监控平台自动告警的误报率表，发现用机器学习标记的异常IP，人工复核时居然对上了6个真实攻击，才意识到数据驱动安全才是未来。下学期打算把研究方向改成ELK+机器学习，顺便考个CISSP，现在看岗位JD，很多都要求能独立搭建SIEM环境，这8周没白熬。

导师跟我说过一句话：“漏洞扫描是基本功，但能写安全策略才是高级活。”现在再看那些客户的SSM报告，才懂他说的意思。比如有个电商客户，我们扫出支付接口有CSRF，但后来发现他们自己写了规则拦截所有带参数的POST请求，结果把正常业务也关了，这就是工具和业务理解差了。所以下阶段打算多看OWASPTop10的行业实践案例，把技术能力往场景化靠。

3.行业趋势展望

在公司看到的趋势有两个特别明显。第一是攻防两端都在用AI，比如我们用的威胁情报平台会自动聚类恶意IP，但反过来攻击者也在用AI绕WAF，8月15号有个客户日志显示，对方用GPT生成的JavaScript混淆代码绕过爬虫检测，最后还是靠我们手动分析特征才封了源。第二是零信任成了所有新系统的标配，我整理的日志里，至少有12个系统在用PAM做多因素认证，但有个遗留系统居然还是明文传输token，这种新旧技术打架的地方特别容易出事。

8周里踩过的坑，现在看来都是行业通病。比如某个SaaS客户，他们的安全负责人连OWASPZAP都没用过，却要我们做渗透测试，结果我们提交的10条漏洞，他只认了3个，最后我们团队花了额外2天帮他补课才把报告签收。这说明行业里安全意识和工具熟练度差异巨大，这也让我觉得，做安全不能光会技术，得会教人。下学期打算搞个内部工具链的GitHub账号，把公司用的脚本、规则模板都开源，顺便把实习里总结的《云环境安全自查清单》做出来，现在看招聘帖，很多小厂还在用Excel做漏洞跟踪，太落后了。

四、致谢

1.

感谢实习单位给我这个机会，让我看到真实的安全世界是什么样。

2.