计算机专业互联网安全公司网络安全实习报告

计算机专业互联网安全公司网络安全实习报告一、摘要

2023年7月10日至9月25日，我在一家互联网安全公司担任网络安全实习生，负责协助团队进行漏洞扫描与修复工作。在为期8周的时间里，我累计完成500+个Web应用的安全测试，发现并提交23个高危漏洞，其中5个被纳入公司漏洞库。期间，我主要运用Nessus、BurpSuite等工具进行渗透测试，并通过脚本语言Python自动化了30+个重复性检查任务，效率提升约40%。工作中，我总结出基于OWASPTop10的风险评估模型，并构建了漏洞优先级分类方法，该方法后续在小组内部推广使用。通过实践，我熟练掌握了漏洞挖掘、安全分析和应急响应流程，并深化了对纵深防御策略的理解。

二、实习内容及过程

2023年7月10日入职，在部门跟着师傅做Web应用安全测试。我的主要任务是帮团队跑扫描器，用Nessus和BurpSuite检查前端和后端漏洞。第一个月我花了15天整理扫描报告，把高危漏洞分类，比如SQL注入、XSS跨站。8月下旬参与了一个电商项目，帮他们做渗透测试，发现5个未修复的高危点，有2个是之前测试系统时没注意到的。团队用OWASPZAP工具验证了其中一个SSRF（服务器端请求伪造）漏洞，我跟着学怎么构造Payload。

8月15号遇到个难题，一个接口明明有逻辑漏洞，但扫描器一直报低风险。我查了3天资料，发现是请求头没正确构造，最后用BurpSuite的Repeater改了参数包，师傅教我用Python写脚本自动验证，跑了200个样本，效率高了不少。这段经历让我明白自动化测试很重要。9月初，我独立负责了10个新系统的测试，提交了23条漏洞，其中5个被系统收录，修复后客户那边没再报问题。

实习期间，公司没怎么搞培训，主要是靠师傅带和看内部文档。有时候觉得岗位要求比我学校学的课程深，特别是对业务逻辑的理解。比如做电商项目时，得知道订单和支付流程才能找到漏洞。我后来自己找资料补了点支付安全知识。另外，团队协作上，需求变更时沟通有点慢，我提的几个优化建议都没被采纳，可能他们习惯了老方法。我觉得可以搞个周例会，快速同步测试进度和风险点。

这8周让我清楚自己想往哪个方向走，想更懂应用安全，可能以后会多研究下云安全和API安全。不过也意识到自己太依赖师傅，独立分析能力还弱，得自己多找项目练手。

三、总结与体会

这8周，从2023年7月10日到9月25日，感觉像是从学校理论到实际操作的一个完整闭环。刚开始时，面对真实的漏洞测试场景，心里挺打鼓，特别是用Nessus扫描完一个系统，面对上百条报告时，不知道哪些是关键。后来跟着师傅学，慢慢能区分高危和中危，比如8月下旬在电商项目里，我独立找到的5个高危漏洞里，有2个是利用业务逻辑盲点，最后被团队验证确认。这让我觉得，学校教的漏洞原理真的管用，但怎么在实践中发现它们，还需要大量经验。提交的23个漏洞中，有5个被公司库收录，这个数据虽然不算顶尖，但对我这种新人来说，说明我确实做了点有价值的活儿。

实习最大的收获，是明白了安全工作不是光会用工具就行，还得懂业务。比如测试那个电商系统时，如果不了解订单支付流程，就很难想到某个接口的特定参数组合会触发未授权访问。这让我意识到，想做好安全，得像产品经理一样懂业务，像开发一样懂代码。这种跨领域的理解，可能是我以后职业发展的一个优势。行业里现在都说云安全、API安全很重要，我在实习里虽然接触不多，但看到团队处理这些问题的方法，心里有数了。比如9月初我负责的10个新系统，大部分是微服务架构，虽然没深挖，但知道测试重点跟传统单体应用不一样。

这段经历也让我更清楚自己的不足。比如独立分析复杂场景的能力还弱，有一次遇到一个疑似内网穿透的异常流量，花了一星期才搞明白是某个第三方服务接口异常，中间试了各种工具，最后师傅点拨了一句才解开。这让我明白，安全是个需要不断试错和学习的领域，抗压能力真的重要。心态上，以前做实验失败可能就有点沮丧，现在明白职场里问题多了去了，关键是怎么解决，责任意识也强了。未来打算深挖下这个内网渗透的案例，可能考个CISSP或者PMP，提升下体系化思维。总的来说，这次实习不只是学到了扫描器怎么用，更重要的是体会到，安全这行，得持续学习，还得能沉下心去琢磨。

四、致谢

感谢在实习期间给予我指导和帮助的团队，谢谢师傅耐心带我熟悉漏洞分析流程，特别是在电商项目里教我如何从业务逻辑角度思考问题。也谢谢组里的同事，每次讨论技术方案时，大家都能分