计算机科学互联网企业网络安全实习生实习报告

计算机科学互联网企业网络安全实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家知名互联网企业担任网络安全实习生，主要负责Web应用安全测试和漏洞修复。通过8周的工作，累计发现并提交高危漏洞23个，中危漏洞47个，其中10个漏洞被纳入公司月度安全通报，平均每日完成测试模块3个，协助团队修复了5个高危漏洞，提升了系统安全防护能力。期间，我应用OWASPTop10测试框架，结合BurpSuite和Nessus工具，熟练掌握了渗透测试流程，并提炼出自动化脚本编写方法，提高了20%的漏洞验证效率。实习期间，通过参与应急响应演练，深入理解了零日漏洞的检测与处置流程，积累了可复用的安全评估方法论。

二、实习内容及过程

2023年7月1日到8月31日，我在一家做互联网服务的公司实习，岗位是网络安全工程师助理。公司业务挺大，用户量不少，系统复杂，安全压力不小。实习初期主要是熟悉环境，跟着师傅学习基本的渗透测试流程，用了两周时间把OWASPTop10和常见的Web漏洞类型过了一遍，还参加了内部的安全培训，了解了公司的漏洞管理流程。

第3周开始独立负责几个在线应用的测试，主要是用BurpSuite抓包分析，找逻辑漏洞和配置问题。第一个项目是测试一个电商平台的支付模块，发现了一个未验证的会话标识符篡改漏洞，影响用户订单金额，花了3天时间复现和提交，后来被团队修复了。期间还用了Nessus扫了一次端口，发现20多个高危CVE，其中几个是系统组件过时的，推动团队更新了补丁。

第5周遇到个坎，一个测试没思路，一个接口认证逻辑一直过不去，反复检查代码和抓包都找不到问题，挺烦躁的。后来跟师傅聊了聊，他建议我用动态分析结合strace看进程调用，发现是中间件配置错了，调试了半天才解决。这事儿让我明白，有时候问题不在代码本身，可能是环境或配置出错了。

后半段开始接触应急响应，参与了两次安全事件处理，一次是用户报的SQL注入，快速定位到是某个第三方脚本没过滤，临时做了WAF策略封禁；另一次是内部发现的零日漏洞，协助研究员分析了触发条件，写了检测规则。通过这些事，对漏洞的生命周期有了更直观的认识，从发现到修复再到验证，每个环节都不能马虎。

整个实习期间，累计提交漏洞报告32份，高危占比超过40%，其中5个被列为重要修复项。最大的收获是学会了怎么把理论知识落地，比如XSS防御不仅要在前端做转义，后端也要有校验。公司流程确实有地方可以改进，比如漏洞分配机制有时候挺乱的，提交后得等师傅手动转派，如果能自动匹配优先级就好了。另外，安全培训里关于云安全的内容太少了，希望下次能补上AWS或Azure的实践课。这段经历让我更确定想往安全方向发展，但知道自己是块新手砖，得多学习才行。

三、总结与体会

这8周，从2023年7月1日到8月31日，在公司的经历像把理论课上的那些安全概念给我具象化了。以前觉得OWASPTop10就是张清单，现在知道每个漏洞背后可能是复杂的业务逻辑和攻击链。亲手提交的32个漏洞报告，特别是那次在电商平台支付模块发现的会话篡改漏洞，被修复后看到系统通知，感觉挺有成就感的。这让我真切体会到，安全工作不是玩黑客游戏，而是要找到风险点和业务场景的平衡点，这8周的工作让我对漏洞管理、应急响应有了闭环的认知。

这次实习也让我更清楚自己想要什么。公司那种快速迭代、追求效率的氛围，加上安全事件中需要争分夺秒处置的压力，让我明白做安全不仅要有技术硬实力，还得有抗压能力和责任心。比如第5周那个接口认证的难题，折腾了两天才解决，虽然过程痛苦，但成长是实实在在的。现在回头看，感觉自己像个职场小白，但学到了在学校里摸不到的实战经验，比如怎么跟团队沟通漏洞风险，怎么根据影响分级处理。这种从学生到准职场人的心态转变挺明显的。

行业里现在聊得多的零日漏洞、供应链攻击、云安全，实习期间虽然没直接上手，但通过应急响应和师傅们的讨论，也看到了这些趋势的厉害。比如那次SQL注入事件，根源是第三方脚本没做过滤，就凸显了生态安全的重要性。未来打算接着深化这些方向，特别是想搞懂云安全那块，可能接下来会去考个AWS或CKA的认证，把实习中学到的东西系统化。这段经历确实给我打下了基础，也让我更有信心去拼下一程，感觉每经历一次挑战，自己就变强一点，挺有动力的。

四、致谢

感谢这次实习的机会，让我在2023年7月1日到8月31日期间，能参与到一个真实的网络安全环境里。谢谢导师耐心带着我熟悉流程，特别是帮我解决那个接口认证难题的时候，给了我不少启发。和团队里其他同事的