软件工程互联网安全公司安全测试实习报告

软件工程互联网安全公司安全测试实习报告一、摘要2023年6月5日至8月23日，我在一家互联网安全公司担任安全测试实习生。核心工作成果包括完成系统漏洞扫描115次，发现高危漏洞23个，中危漏洞47个，并撰写漏洞分析报告37份。期间，应用OWASPZAP、Nessus等工具进行渗透测试，熟练掌握自动化脚本编写，使用Python编写扫描插件3个，提升扫描效率20%。通过实践验证了漏洞评级模型的准确性，例如某次扫描中发现的SQL注入漏洞被证实可导致用户数据泄露，验证了前期培训中关于风险评估方法的实操性。提炼出“分层扫描重点突破”的测试方法论，将漏洞修复率从35%提升至58%，可复用于同类项目。二、实习内容及过程1.实习目的想通过实习了解安全测试在实际项目中的应用，把学校学的理论知识用上，看看自己到底行不行，为以后找工作打基础。2.实习单位简介我实习的公司是做互联网安全服务的，主要帮企业搞系统安全，有渗透测试、漏洞扫描、应急响应这些业务。团队不大，但人都挺厉害，搞的都是前沿技术。3.实习内容与过程刚去那会儿跟着师傅熟悉环境，学怎么用各种扫描器，像OWASPZAP、Nessus这些。6月10号开始接手第一个项目，是个电商平台的系统测试。他们用的是SpringBoot框架，我就重点抓接口安全，用BurpSuite抓包，发现好几个XXE漏洞，还有几个敏感信息直接暴露的。师傅说做得不错，但让我慢点来，有些东西得深挖。后来7月15号左右，有个项目时间紧，要在一周内完成一套系统的测试报告。我白天忙着扫描，晚上就学写Python脚本自动跑几个模块，效率确实提上来了，但中间踩了不少坑，比如有个脚本漏了几个条件判断，差点漏报。最后报告交上去，领导挺满意，说漏洞覆盖率高，建议采纳。期间还参与了一个应急响应的案子，帮客户查一个被黑的网站，搞了三天，学到了不少东西。4.实习成果与收获八周下来，我独立完成了12个项目的安全测试，写了17份报告，发现的高危漏洞平均修复周期缩短了15%，这个数据是跟之前比着看的。最大的收获是学会了怎么跟开发沟通，以前在学校搞测试，总觉得他们反应慢，真遇到问题才知道他们也很忙，得找对方法说。另外，对漏洞的危害性有了更直观的认识，比如有一次发现一个SSRF，跟师傅模拟攻击，看到数据库直接被拖出来了，才明白为啥说这个漏洞不能忽视。最大的改变是心态，以前觉得安全测试就是点点点，现在知道得考虑各种场景，得有黑客的思维。5.问题与建议实习中也发现点问题，比如公司培训这块儿，感觉挺随意的，有时候师傅忙就自己瞎摸索，要是能系统教教工具的高级用法就好了。还有管理上，有时候任务分配不太合理，我接手的项目里，有个系统特别旧，代码烂得跟什么似的，测试难度大，但人手又不够，最后只能应付了事。建议他们搞点标准化流程，比如新员工培训可以出个手册，项目分配得根据实际情况来，别光看紧急程度。另外，岗位匹配度上，我觉得我可以学得更多，比如渗透这边我做得还行，但应急响应参与得少，要是能接触更多就好了。三、总结与体会1.实习价值闭环这八周实习像把理论装进了实践。之前学OWASPTop10，觉得抽象，现在亲手用ZAP抓到SSRF，再用Python脚本复现，才真懂了什么意思。比如7月8号发现的那个未授权访问的API，直接连到后端数据库，我写报告时把可能造成的数据泄露场景都列明白了，开发看了连夜改了，那一刻感觉特别踏实。实习把课堂上的“知道”变成了“做到”，这种闭环是最宝贵的。2.职业规划联结以前想当安全研究员，现在发现动手测试可能更适合我。公司里搞渗透的大哥整天泡实验室，但我更愿意跟业务结合，比如8月15号测试那个小程序，发现了个逻辑漏洞，用户可以无限得积分，最后跟产品经理聊了，他们调整了规则，这让我觉得挺有成就感。下一步打算系统学学CI/CD里的安全测试，争取明年考个CISSP，把理论知识再拔高一层。3.行业趋势展望实习里感觉零信任和API安全是重点，那个电商平台我测的20多个接口，至少有6个没做好身份校验。师傅说现在大厂都在搞微服务，安全边界模糊了，测试不能只盯后端，得看全链路。比如有个项目他们用K8s，我就特意去学了一下EKS的渗透技巧，虽然没实际用，但感觉这会是未来方向。行业变化快，学校教的太基础，真得自己持续学，比如我实习回来打算把BPF学进去，搞搞内核攻击那块。4.心态转变最明显的是抗压。刚去那会儿，6月10号有个项目要求两天出报告，我熬了两个通宵，最后也交了，但第二天直接恶心吐了。现在回头看，觉得这就是常态。还有责任感，以前写漏洞报告就是抄模板，现在得考虑怎么让开发明白，怎么让客户放心，比如7月22号给某银行测系统，我说了个风险，他们本来想拖，但我把可能被利用的步骤画成图，最后他们主动加人了。这种从学生到职场人的变化，比成绩单还重要。四、致谢1.感谢那