互联网安全公司网络安全实习生实习报告

互联网安全公司网络安全实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家互联网安全公司担任网络安全实习生。核心工作成果包括协助团队完成15个网络漏洞扫描任务，其中3个高危漏洞被成功修复并提交至漏洞平台；参与编写2份安全策略文档，涉及用户权限管理及数据传输加密部分；独立完成5次安全意识培训，覆盖部门员工200余人。专业技能应用上，熟练运用Nmap、Wireshark等工具进行流量分析，通过KaliLinux环境搭建完成对SQL注入、跨站脚本（XSS）的实战演练。提炼出可复用的安全检测方法论：结合自动化脚本与人工渗透测试，漏洞修复需遵循“风险评级影响范围紧急程度”三维度优先级排序，确保问题闭环管理。

二、实习内容及过程

2023年7月1日到8月31日，我在一家做网络安全这块儿的公司实习。他们主要帮企业搞渗透测试、应急响应、安全体系建设。我跟着团队做了不少事，感觉挺有收获的。

7月中旬开始，我参与了个网站安全评估项目，给客户那边10个线上系统做测试。用了Nessus扫了漏洞，发现3个高危的，一个是SQL注入，另一个是文件上传漏洞，还有一个是配置错误。我跟师傅们一起分析，最后我负责写修复方案，师傅们看了挺满意的。期间还用到了BurpSuite抓包分析，对请求参数那种看得更清楚。8月初，我单独弄了个内网渗透实验，从网段192.168.1.0/24开始，用了Metasploit搞了两个shell，最后做了个报告，领导说还行。

实习里遇到的最大坎儿是7月下旬那个项目，客户系统环境特别复杂，旧系统多，日志乱七八糟的。刚开始完全没头绪，感觉像在黑暗里摸。后来师傅让我先把所有日志导出来，用ELK堆栈（Elasticsearch、Logstash、Kibana）搭了个分析环境，过滤关键词，画了几个流量图才慢慢找到线索。这下明白，对付这种乱局，工具得用对，还得懂点逆向思维。

培训这块儿，公司没怎么系统教，都是师傅带。有时候觉得吧，他们内部流程可以优化下，比如安全事件响应那套手册，写得太理论化，实际操作起来好多地方得现查现补。建议他们多搞点实战演练，或者把手册跟实际案例结合着讲。

岗位匹配度上，我学到了不少东西，但感觉对云安全这块了解还不够深，公司那块业务我接触得不多。以后打算补补AWS、Azure那边的内容。这次实习让我觉得，安全这行，技术得跟上，但沟通协调也很重要。比如给客户解释漏洞影响，得说他们能听懂的话。职业规划上，我想往渗透测试或者安全顾问方向发展，先得把基础打牢。

三、总结与体会

这8周，从7月1号到8月31号，在公司的经历让我对网络安全有了更实体的认识。以前看的东西都是书本或者视频，现在真动手了，感觉完全不一样。

实习的价值是实实在在的。比如我参与的那个项目，为客户找到3个高危漏洞，最后都修复了，这比纸上谈兵有成就感多了。我用Nessus、BurpSuite这些工具，还参与了ELK日志分析，这些操作不是老师随便讲讲就能会的，真得自己上手。比如7月那个复杂内网渗透任务，开始时完全懵，后来师傅教我用Metasploit并结合流量分析，最后找到了入口，这个过程让我明白，理论结合实践有多重要。15个漏洞扫描任务，5次安全培训，这些数字背后是具体的工作，是客户的安全得到了保障，这让我觉得实习没白费。

这次经历直接影响了我的职业想法。之前觉得搞安全就是会点工具，现在明白，安全顾问、渗透工程师都需要很强的沟通能力和体系思维。我发现自己对应急响应挺感兴趣，以后打算深挖这块。实习也让我意识到，学校里学的知识是基础，但远远不够。比如他们用的某些云安全配置，我完全没接触过。接下来打算去啃AWS、Azure的相关文档，看看能不能考个认证，比如AWSCertifiedSecurity–Specialty，给简历加分。

行业这东西变化快得很，每天新漏洞、新攻击手法就没停过。感觉人工智能、物联网发展起来，安全挑战只会越来越大。这次实习让我看到，安全人员得持续学习，不能停。像SANS、BlackHat这种会议的内容，以后得多关注。从学生到职场人的感觉挺奇妙的，以前做项目就是自己爽就行，现在得考虑成本、效率，还得跟团队、客户沟通。责任感明显重了，遇到问题不敢拖，抗压能力也强了点。这种心态转变，我觉得比学会几个工具更宝贵。总之，这段经历就是给我上了堂生动的职场课，也指明了以后努力的方向。

四、致谢

在公司这8个多月，特别感谢我的导师，给我机会跟着团队干活，从漏洞分析到报告编写，每一步都耐心指导。那些