网络安全网络安全公司网络安全实习生报告

网络安全网络安全公司网络安全实习生报告一、摘要

2023年6月5日至8月23日，我在一家网络安全公司担任网络安全实习生，负责协助团队完成网络渗透测试和漏洞修复工作。期间，我参与了3个项目的安全评估，累计发现并报告高危漏洞12个，中危漏洞28个，低危漏洞45个，平均每日提交报告1.5份，有效提升了团队的安全检测效率。在实习中，我熟练应用Nmap、Metasploit等工具进行端口扫描和漏洞模拟攻击，并运用OWASPTop10框架分析Web应用安全风险，提出的安全加固建议被客户采纳后，使系统漏洞率降低了60%。通过实践，我掌握了漏洞管理流程的标准化操作方法，并形成了可复用的风险评估模型，为后续安全工作提供了数据支撑。

二、实习内容及过程

实习目的呢，主要是想看看理论在实际工作里是怎么走的，摸摸网络安全这行到底需要些啥本事。6月5号到8月23号，我在一家做网络安全服务的小公司待了8周，跟着安全服务团队瞎转悠，学了不少东西。

这家公司主要帮其他公司搞安全评估、应急响应啥的。我跟着师傅们跑过三个项目，都是帮客户测网站和系统的破绽。第一个项目是7月10号到20号，弄一家卖服装的电商网站，用Nmap扫了200多个端口，发现20多个高危漏洞，有俩是SQL注入，俩是跨站脚本，最后帮他们补上了。那时候我对Web漏洞理解还不深，提交的报告师傅们还老得给我改来改去，逼着我去看OWASPTop10，慢慢就顺了。

实习内容就是跟着做渗透测试，写漏洞报告，还得搞点应急响应的演练。有个挑战是8月初遇到的一个加密通信协议的问题，客户说后台数据丢了，我花了两三天查资料，用Wireshark抓包，对照着看加密算法的参数，最后定位到是个配置错误，把密钥长度设小了。我那时候对加密这块完全是门外汉，只能天天看文档，跟师傅请教，最后搞明白了。那段时间挺熬人的，但真弄懂了还挺有成就感。

8周里，我参与写了大概50份报告，发现漏洞60多个，帮客户堵住了几个可能导致数据泄露的破绽。最大的成果是那个电商网站项目，帮他们堵了几个高危漏洞，客户后来反馈说省了不少麻烦。最大的收获是知道了自己短板在哪，比如加密这块，还得补。也体会到安全这活儿真得时刻学，技术更新太快了。

走的时候觉得挺有意思的，就是有时候客户催得急，压力也大。公司嘛，流程有时候不太合理，比如报告审批得半天，影响效率。培训方面吧，更多的是靠师傅带，系统化的培训有点少。岗位匹配度上，感觉我学的理论用得还够，但实战经验确实差得远。

我建议公司可以考虑搞点更系统的培训，比如按漏洞类型分模块讲，或者搞点在线的靶场练习啥的。流程上能不能让审批快点，或者搞个模板自动填点基础信息，能省不少事。

三、总结与体会

这8周，从6月5号到8月23号，跟着团队干安全评估，感觉跟在学校学完全不一样。以前看漏洞是看原理，现在得考虑怎么快速找到它，怎么写报告让别人明白，这感觉就是从学生到半个职场人的变化。最直接的收获是，以前觉得挺玄乎的加密、协议分析，真动手搞的时候才明白得有多细致，一个参数弄错就完全不一样。参与的那个电商网站项目，最后帮客户堵了几个高危点，看着报告被他们采纳，感觉挺有价值的。

这份实习让我看清了想干这行得学多少东西，也让我觉得自己的知识储备还远远不够。比如8月初那个加密协议的坑，花了好几天才搞明白，那时候压力是真的大，但真突破了感觉特别爽。这种抗压和解决问题的能力，比单纯学知识更重要。实习也让我更清楚自己想要什么了，以后学习肯定得往实战上靠，想考个CISSP或者CEH证书，把基础打牢。

看着现在网络安全那么火，各种云原生、物联网啥的，感觉挑战挺多的，但机会也大。我体会最深的是，安全这东西真的不是学完书就能搞定的，得一直跟着跑，技术、工具、攻防思路都在变。这次经历让我更有底气了，以后不管是继续深造还是直接找机会，都有个明确的方向。感觉这份实习没白来，最起码知道了自己得往哪努力了。

四、致谢

6月5号到8月23号这段时间，真的挺感谢那家公司的。跟着团队学到了不少东西，感觉挺实在的。师傅对我帮助特别大，教我怎么做渗透，怎么写报告，遇到问题他总能点醒我。团队里其他人也挺好，有时候讨论技术能给我不少启发。虽然有时候节奏快得有