计算机科学与技术XX互联网安全工程师实习生报告

计算机科学与技术XX互联网安全工程师实习生报告一、摘要

2023年7月1日至2023年8月31日，我在XX互联网安全工程师岗位实习。期间，我负责完成Web应用安全测试，累计发现并提交高危漏洞23个，中危漏洞47个，平均每周完成测试模块5个，修复验证率高达92%。核心工作包括使用BurpSuite进行流量拦截分析，编写自动化扫描脚本（Python），集成OWASPZAP实现漏洞复现。通过实践，我掌握了漏洞挖掘的系统性方法：结合静态代码分析（SAST）与动态行为监控，建立漏洞风险评估模型。专业工具的应用效率提升40%，脚本化测试覆盖范围扩大至传统方法的1.8倍。这些成果支撑了部门季度安全审计目标的达成，验证了理论知识在真实场景的转化能力，形成可复用的渗透测试方法论。

二、实习内容及过程

1.实习目的

主要是想看看自己学的网络安全知识在实际工作里能干啥，能不能找到自己擅长的地方，顺便熟悉下互联网公司的开发和安全流程。

2.实习单位简介

我实习的公司是做在线教育出身的，后来扩展到知识付费和社区业务，用户量不小，所以安全这块儿挺受重视。技术栈主要是Java后端，前端用Vue，数据库以MySQL为主，边缘还有不少缓存和消息队列。

3.实习内容与过程

我跟着安全团队做Web应用安全测试，第一个月主要是熟悉环境，学他们的测试流程和工具。他们用的渗透测试框架挺全的，有OWASPZAP自动扫描，也有手动测试的checklist。我接手的是他们的一个内容发布模块，主要是看接口和前端交互有没有问题。

具体来说，7月5号开始上手，花了三天时间用BurpSuite抓包，发现几个API参数没做验证，直接传个特殊字符就能改别人的数据。比如一个修改课程信息的接口，没校验用户权限，我构造了个Payload，成功修改了别人课程的描述。团队那边晚上就修复了，第二天早上测试环境已经上线了新版本。

7月15号左右，开始接触自动化测试，师傅教我用Python写脚本，结合requests库和正则表达式，把常见的SQL注入和XSS漏洞的检测逻辑编进去。第一个脚本花了五天时间，覆盖了大概30个核心接口，跑下来能报出十几条高危和中危漏洞。后来我琢磨着，能不能加个机器学习模型预判风险等级，就用了周末时间学了几篇论文里的方法，最后把误报率从15%降到了8%。

8月初，公司搞活动，系统并发量上去特别快，我帮忙监控了接口的QPS，发现有几个缓存未命中的接口响应时间直接飙到500ms以上。我就提了个优化建议，把热数据用Redis集群代替，团队采纳了，结果性能提升明显。

4.实习成果与收获

八周里，我提交的漏洞报告有70%被列为高危，修复验证通过率92%。具体数字是23个高危，47个中危，3个逻辑漏洞。最大的一个发现是用户头像上传接口没做文件类型限制，能传exe文件过去，直接在服务器上执行。这个漏洞后来被用作内部培训案例。

收获上，最大的变化是觉得安全测试不只是点点点，得懂业务逻辑，比如那次课程修改漏洞，如果光看代码，根本发现不了权限校验是空的。还有学到了怎么用脚本提高效率，之前觉得自动扫描不如手动准，现在发现两者结合能省不少事儿。

5.问题与建议

实习里碰到两个麻烦事儿。一个是7月20号左右，有个测试用例一直报错，定位半天才发现是开发环境跟测试环境数据库字段不一致，导致脚本执行失败。这个事儿让我意识到，公司环境管理太糊弄了，不同环境之间差异太大。建议以后搞个统一的配置中心，关键字段都得同步。

另一个问题是培训太水了，就发了几篇文档，没人带，很多工具用法都是自己瞎鼓捣出来的。我提过能不能搞个新人训练营，比如每周安排个技术分享会，讲讲他们用过的那些安全工具和踩过的坑。毕竟安全这东西，光看书没用，得多练多试。

职业规划上，这次实习让我更想往应用安全方向发展，感觉做东西比做理论有意思。不过也清楚，现在能力还差得远，得继续补课，特别是对业务的理解，光懂技术没用。

三、总结与体会

1.实习价值闭环

八周时间，从7月1号到8月31号，感觉像是从理论世界猛地闯进了现实战场。刚去的时候，脑子里都是学校老师讲的那些概念，像SQL注入、跨站脚本，背得滚瓜烂熟，但真拿到一个活系统上，完全不知道从哪儿下手。第一个星期就是在看团队的代码库，跟师傅请教各种工具怎么用，感觉手忙脚乱。后来慢慢上手，7月15号左右开始独立负责一个模块的测试，用BurpSuite抓包，写Python脚本，感觉这才算是真正开始了实习。最爽的是7月25号，我发现那个头像上传的漏洞，提交上去后团队很快修复了，那一刻觉得特别有成就感。现在回想，这八周就是从懵懂到有点眉目，把学校学的那些碎片知识拼成了个大概轮廓。

2.职业规划联结

这次实习让我对安全工程师这个岗位有了更具体的认识。以前觉得安全就是找个工具点点点，现在明白，做安全得懂业务，得知道系统是怎么跑的，才能找到真正的弱点。比如我发现的那个课程修改接口漏洞，如果光看代码，根本发现不了权限校验是空的，必须得了解这个功能的设计逻辑。这让我意识到，以后想往这个方向走，光会技术远远不够，还得加强对业务的理解。实习结束回去之后，我打算系统学学云原生安全这块，公司那个系统用了很多K8s和Docker，我翻了几篇相关的论文，感觉挺有意思的。另外，打算今年年底考个CISSP，把基础理论再巩固一下，毕竟学校教的可能偏重理论，企业里更看重实际动手能力。

3.行业趋势展望

在实习过程中，能感觉到现在互联网安全特别强调自动化和智能化。他们用的OWASPZAP自动扫描配合我写的Python脚本，效率比纯手动高不少。师傅还跟我提过，现在很多大厂都在搞SAST+DAST+IAST的混合防御，单靠渗透测试已经不够了，得跟开发流程紧密结合。比如他们搞了个代码扫描平台，新代码提交前必须过一遍，能提前发现很多问题。这让我觉得，未来的安全工程师，可能不光得会渗透，还得懂开发，会用各种工具链。行业里好像也越来越重视安全左移，我在那八周里，就体会到尽早介入测试的重要性，如果开发的时候就把安全考虑进去，后面省事多了。

4.心态转变与未来行动

最明显的变化是心态吧，以前做实验，失败了重启一下就行，现在提交个漏洞报告，得反复确认会不会影响线上用户，得考虑修复方案的可行性。7月30号左右，有一次扫描报告提交上去，师傅说有几个漏洞评级定得有点高，让我再复核一下。当时心里挺急的，赶紧又用不同方法验证了一遍，最后调整了几个风险等级，师傅后来也夸我考虑得周全。这种责任感，以前在学校根本体会不到。抗压能力也强了点，比如8月初系统高并发那会儿，我跟着压测，半夜接到电话说某个接口响应慢，马上就起来分析日志，最后发现是缓存问题。虽然最后解决了，但心里挺虚的，毕竟经验还浅。

以后学习，肯定要把自动化测试这块补上，他们用的那些Python库，requests、beautifulsoup，我都得再练练。另外，打算多关注下零日漏洞动态，实习里感觉这类事件反应速度特别重要。总的来说，这次实习收获挺大的，虽然时间不长，但确实让我对安全行业有了更深的理解，也明确了接下来要努力的方向。

四、致谢

1.

感谢