计算机科学网络安全公司网络安全工程师实习报告

计算机科学网络安全公司网络安全工程师实习报告一、摘要2023年7月1日至2023年8月31日，我在一家网络安全公司担任网络安全工程师实习生。核心工作成果包括协助完成3次内部渗透测试，发现并修复12处高危漏洞，其中5处涉及跨站脚本攻击（XSS），2处涉及SQL注入。参与构建了2个自动化扫描脚本，使用Python结合Nmap和Metasploit框架，将常规漏洞扫描效率提升40%，日均处理目标数量从50个增加到70个。专业技能应用方面，熟练运用Wireshark进行流量分析，累计分析网络数据包超过5000条；使用BurpSuite进行Web应用安全测试，提交的漏洞报告被3个项目组采纳并修复。提炼出的可复用方法论包括：结合静态代码分析（SAST）与动态应用安全测试（DAST）的混合测试流程，以及利用机器学习初步识别异常登录行为的策略，相关数据通过JupyterNotebook验证准确率达85%。二、实习内容及过程实习目的主要是把学校学的网络安全理论跟实际工作对接上，看看自己到底对哪些技术领域真感兴趣，也想积累点项目经验，为以后找工作打基础。实习单位是家做网络安全服务的公司，主要业务是给企业做安全评估、应急响应什么的。他们技术栈挺全的，用了很多主流的安全工具和平台，像是态势感知系统、威胁情报平台、EDR终端检测这些。实习内容刚开始主要是熟悉环境，跟着导师学了公司内部的安全规范和操作流程。然后就开始接触具体项目，参与了两个主要工作。第一个是帮一个项目组做内部渗透测试，对象是他们新上线的几个系统。我负责其中一个Web应用模块，用了BurpSuite和OWASPZAP抓包分析，发现5个中危漏洞，2个高危的，一个是SQL注入，另一个是跨站脚本（XSS）。提交的漏洞报告他们挺快的就确认了，后面修复得也挺好。第二个任务是优化漏洞扫描流程，之前用开源工具扫效率确实不高，有时候还得手动补扫描。我就用Python搭了个小脚本，结合Nmap和Nessus，把需要重点关注的端口和服务先筛选出来，跑完再用Metasploit做深度检测。导师看了说这样效率确实提上来了，从之前每天处理30来个靶机，提到后来能处理四五十个。遇到的困难主要有两个。第一个是刚开始对他们的威胁情报平台不熟，看不懂里面的指标和告警信息。花了一周时间把平台的基本操作和常用指标都摸透了，还去网上找了不少相关资料，算是搞明白了个大概。第二个是做渗透测试时，有个目标系统防护挺严的，封了不少常见端口，扫描一直没结果。导师就建议我试试动态分析，我学了点逆向工程的基础，用了IDAPro和Ghidra反编译了他们给的几个可疑DLL，最后定位到个硬编码的密钥，用这个密钥绕过了好几个安全检查。成果方面，除了上面说的那些漏洞和效率提升，我还参与写了份应急响应的预案草稿，虽然最后没完全用上，但把学到的流程都梳理了一遍。收获挺大的，特别是把Wireshark玩明白了，以前只会用最基础的，现在能比较熟练地抓包分析，甚至能根据流量特征判断一些攻击行为。思维上感觉变化也挺大的，以前觉得漏洞就是找得越多越好，现在更看重漏洞的实际危害和业务影响，怎么用最有效的方式减少损失。职业规划上，这次实习让我更确定想往渗透测试或者应急响应方向发展，感觉挺有挑战的，也很有价值。不过也发现了一些问题，比如他们内部管理有时候有点混乱，不同项目组之间的信息同步做得不太好，导致我有时候会接收到重复或者矛盾的指令。还有培训机制吧，虽然有导师带，但更多是靠自己摸索，要是能有更系统的培训材料就好了。岗位匹配度上，感觉我接触到的内容跟当初想象的有那么点偏差，实际工作中需要处理的事情比单纯写报告、做测试要多得多，比如跟客户沟通、写那种比较水的安全报告这些。改进建议的话，希望公司能给实习生准备一些更详细的操作手册或者知识库，特别是像威胁情报分析、应急响应这些流程，光靠导师口头讲有点记不住。另外，项目分配上能不能稍微规范点，避免出现任务重叠或者信息不对称的情况。再就是，要是能组织一些内部技术分享会，让实习生也能听听别的同事在做的东西，可能会学到更多。三、总结与体会这8周，感觉像是把书里那些零散的知识点，真真切切地拼凑到了一起。从7月1号刚开始懵懵懂懂地面对那些专业工具和真实环境，到8月31号离开时能独立处理一些常规任务，这过程挺快的，也挺实的。最大的价值闭环，就是发现课堂上学的那点东西，在实际操作中是远远不够的，但那些基础又是绝对跑不了的根本。比如Wireshark，以前就当个抓包工具用，这次深入分析了几百个请求流，才明白流量特征跟攻击行为之间那些微妙的关系，这种感觉挺奇妙的。提交的那几个漏洞报告，从提交到被确认修复，整个过程大概花了不到一周，这种即时反馈让我觉得挺有成就感的。这次经历对我职业规划的影响挺直接的。之前对网络安全这行挺模糊的，现在稍微清晰点了。确实更想往渗透测试或者应急响应这块儿钻，感觉那种在攻防对抗中解决问题，比单纯做理论研究要来得刺激，也更能体现技术的价值。我发现自己对处理突发情况、在压力下快速分析问题挺有那股子劲儿。当然，也认识到自己的不足，比如对业务逻辑的理解还太浅，有时候找漏洞找不到点子上，这得在后面多下功夫。8周的时间，虽然不长，但确实让我看到了行业的一些趋势。现在不像以前那样，单纯靠某个单一的技术就能解决问题，更强调体系化的防御和快速响应。像他们用的那种态势感知平台，整合了日志、流量、威胁情报这么多维度的数据，靠的就是大数据分析和人工智能技术来发现异常。这让我觉得，以后想在这个行业混，光懂点基础协议、攻击手法是远远不够的，还得懂点数据分析、机器学习，不然真的会被淘汰。这也成了我接下来学习的一个明确方向。从一个学生到准职场人，心态上最大的转变，就是责任感这东西，真不是说说而已。以前做实验或者写代码，犯错了大不了重做或者让老师改。这次实习，你提交的那个报告，或者你分析的结论，可能就直接关系到客户那边系统的安全，这种责任感沉甸甸的。抗压能力也锻炼了不少，有时候一个漏洞查了两天没结果，或者被导师指着说哪里做得不对，心里是真有点打鼓，但调整过来之后，感觉成长挺快的。后面打算好好利用这股实习劲儿，先把Python在安全领域的应用再深化一下，把之前写的那些脚本优化完善。明年准备考个CISSP或者PMP，虽然现在还早，但得提前准备起来。还有那个逆向工程，这次碰了一下，感觉挺有意思，但还远没入门，打算找个时间系统学学。总之，这次实习算是给我指明了方向，也给了我不少动力，接下来就是撸起袖子加油干了。四、致谢要感谢的公司，提供了这次机会，让我能接触到真实的安全项目