网络安全安全网络安全实习生实习报告

网络安全安全网络安全实习生实习报告一、摘要

2023年6月5日至8月23日，我在XX公司网络安全部门担任实习生，负责协助完成网络安全风险评估和漏洞扫描工作。通过参与15次企业级网络安全演练，累计完成236台服务器和移动端的漏洞扫描，识别并修复高危漏洞87个，降低系统风险评分32%。应用OWASPZAP工具进行渗透测试，发现并提交15个安全漏洞，其中3个被纳入公司年度安全加固计划。期间，运用Nmap和Wireshark分析网络流量，优化了内部防火墙策略，使非法访问拦截率提升至89%。总结出基于资产风险控制模型的动态安全评估方法论，可复用于中小型企业安全基线搭建，通过脚本自动化处理重复性任务，效率提升40%。

二、实习内容及过程

2023年6月5日至8月23日，我在XX公司的安全团队实习，主要目标是把学校学的安全知识跟实际工作搭上钩，看看企业是怎么落地安全防护的。

公司是做金融科技的，系统比较复杂，数据敏感度高，整个团队也就十来个人，搞各种安全产品和服务。我跟着师傅做了8周，核心是帮着做风险评估和漏洞管理。

第3周开始上手，跟着师傅做了一次内部系统的渗透测试，对象是他们的CRM系统。用Nmap扫了120个IP，发现5个高危漏洞，主要是SSRF和跨站脚本，当时挺懵的，完全没想到这些老系统还有这么多问题。师傅就教我用OWASPZAP抓包分析，慢慢就摸清了思路。最后提交了3个高危漏洞，公司那边直接给修复了，还把我写的分析报告当培训材料用了。

第6周参与了一个项目，给新上线的小程序做安全测试。因为时间紧，要覆盖的功能多，一开始手忙脚乱。后来想起学校做的安全靶场实验，把动态和静态测试结合起来，先扫了一波静态代码，发现4处硬编码的密钥，这种低级错误真是不好意思。接着用AppScan搞动态测试，又挖出来10个逻辑漏洞，师傅说要是早点这么干，能省不少事。最后报告提交上去，产品那边连夜改了3个，说要是没发现，用户数据估计要遭殃。

过程里最难的是跟业务部门对接，他们不懂安全，沟通起来特别费劲。有一次要测试一个支付接口，业务说功能没问题，但我发现参数没做校验，直接把订单号给吐出来了。我磨了两天嘴皮子，才让他们同意加个脱敏措施。这种事多了，就明白安全不是光靠技术能解决的，得会说话。

团队里有个师傅特别厉害，教我不少东西。他说现在攻击者都喜欢用供应链攻击，我们就搞了个东西，给第三方服务商做渗透测试，发现他们代码里有个SQL注入，要是被利用了，我们整个系统都得完犊子。这件事让我意识到，安全真的得全员参与。

最大的收获是学会怎么写安全报告，以前写实验报告跟写安全报告差远了。现在知道怎么用数据和案例说话，比如那次CRM测试，我把漏洞的危害、复现步骤、影响范围都写得明明白白，师傅看了直夸。还有就是学会用脚本提高效率，我用Python写了個自动扫描脚本，把重复性的工作给干掉了，效率确实高了不少。

困难主要是时间太赶，有一次做风险评估，本来计划一周，结果只给了3天。那时候真是头发都快薅秃了，最后只能挑重要的来搞，一些边缘问题就先放放。后来想想，这就是实战吧，总不能啥都面面俱到。

公司里感觉管理有点乱，新人没明确培训计划，全靠师傅带。我来了8周，就跟着一个师傅，要是能轮流接触几个方向的同事，估计成长更快。另外，测试环境跟生产环境差太多，好几次发现测试环境能过的漏洞，到真系统上根本利用不了，有点浪费时间。

我建议他们搞个安全知识库，把常见问题、修复方案都记下来，这样新来的能快速上手。还有就是测试环境得跟生产像点，至少核心配置得一致，不然发现的问题没什么参考价值。

这次实习让我看清了自己的短板，比如应急响应这块，完全没经验。学校学的理论多，但真遇到攻击，啥也使不上。以后得多看多练，争取把短板补上。总的来说，这次经历挺值的，至少知道以后该往哪个方向努力了。

三、总结与体会

这8周在XX公司的经历，就像把书本上的安全知识扔进水里，看着它变成实实在在的气泡，知道哪些能浮起来，哪些沉底得捞。从6月5号开始，到8月23号结束，我不再是光会讲TLS握手啥的，而是真的见过生产环境里的应急响应，摸过真实的资产清单。

实习的价值闭环是清晰的。刚去的时候，连资产清点都做不好，系统名字都记不住，师傅让我扫个网段，扫了半天不知道对不对。后来跟着做风险评估报告，把资产、威胁、脆弱性、控制措施连起来写，一遍遍改，最后交上去人家能用，那一刻就觉得，嘿，我好像真的学成了点东西。比如那次给CRM系统写渗透报告，从发现SSRF到写复现步骤，每一个点都抠得很细，最后公司居然用了我的版本，这比在学校做实验得到满分还高兴。这种把技术转化为实际产出的感觉，就是实习最大的价值。

这次经历直接改写了我的职业规划。以前觉得做安全就是搞搞漏洞，现在明白安全是个体系活，得懂业务、懂管理、还得会沟通。我在公司里最怕跟业务部门开会，一问三不知，后来逼着自己去看他们的产品文档，慢慢能接话了。这让我意识到，以后想做好安全，光懂技术远远不够。我打算下学期考个CISSP，把管理这块补上，同时也在看内网渗透相关的资料，想往这个方向发展。实习让我看清了，安全这行，不是一个人能搞定的，得整个团队协作。

看着公司每天收到的威胁情报，才真切感受到攻击者有多疯狂。他们用的技术，很多都是学校实验里搞过的，但组合起来就完全不一样了。比如上次看到的供应链攻击，就是利用第三方软件的漏洞，直接打进来。这让我明白，安全这东西，永远在攻防两端赛跑，学校教的都是基础，得持续跟进行业动态。现在很多大厂都在搞零信任，微隔离，这些都是趋势。我打算多关注这些方向，争取实习经验能帮上后续求职的忙。

心态转变是真的。以前做实验，卡壳了就问老师，现在在实习，发现个高危漏洞，脑子里第一个念头是“这要是被利用了怎么办”，责任感一下子就来了。比如有一次扫服务器，发现个配置错误，直接暴露了内部管理账号，当时手心都出汗了，赶紧写邮件给师傅，然后一起给修复了。这种压力，现在想想挺爽的。抗压能力也强了不少，以前做项目，拖两天就急得不行，现在跟业务磨了3天嘴皮子，为了一个测试需求，觉得也能扛。

未来肯定要把实习经验用起来。师傅教我的那些脚本，我现在还在用，效率确实高。我打算把这次做的风险评估方法论整理成文档，以后面试能直接用。同时也在补补短板，比如应急响应这块，公司搞演练的时候我就在旁边看，把流程都记下来。实习让我明白，安全这行，学无止境，现在感觉自己就是个刚学走路的娃，路还长着呢。下个目标，是争取在年底前拿下CISSP，把理论知识跟实战经验真正拧成一股绳。

四、致谢

在XX公司这8周的实习经历，离不开不少人的帮助。

师傅，特别感谢你耐心地带我从头学起，那些漏洞分析的小技巧，还有怎么跟人打交道，都是你教我的。跟着你干，才知道安全不只是代码和命令行。

团队里的几个同事，一起搞风险评估的时候，你们提的建议特别中用，还有那个老哥，教我用了几个高效的小工