软件工程专业XX互联网公司安全实习报告

软件工程专业XX互联网公司安全实习报告一、摘要2023年7月1日至2023年8月31日，我在XX互联网公司担任软件工程安全实习生，负责协助完成系统漏洞扫描与修复工作。核心工作成果包括：完成200个Web应用模块的安全测试，累计发现并提交47个高危漏洞，其中15个被列为关键风险并推动修复。期间应用OWASPTop10框架分析漏洞成因，结合BurpSuite抓包工具定位10个逻辑缺陷，使用Python编写自动化扫描脚本提升效率30%。通过参与应急响应演练，掌握漏洞生命周期管理流程，提出3项可复用的安全加固建议，被团队采纳用于新项目开发阶段。实习期间，将AES256加密算法应用于敏感数据传输场景，确保50组API接口数据安全。二、实习内容及过程2023年7月1日入职，8周实习期主要在安全测试团队协作。初期跟着导师熟悉公司业务系统架构，每周整理3个模块的依赖库版本，用CVE数据库核对过时组件，发现5个高危组件直接关联去年爆出的零日漏洞。参与过一次紧急响应，是系统被DDoS攻击时，协助排查请求特征，定位到是某个第三方服务接口限流失效导致的流量激增，用Nginx的Geo模块调整了白名单策略，流量在1小时内降回正常水平。期间独立负责20个API接口的渗透测试，用BurpSuite的Repeater模块模拟重放攻击，测试了JWT令牌的无状态设计，提交了3个逻辑漏洞，其中1个被评估为CWE79，后续修复后覆盖率从12提升到27。遇到最大的困难是初期对业务逻辑理解不深，导致误报一堆低优先级问题，导师建议我从需求文档倒推代码逻辑，买了《Web应用安全权威指南》啃了第四章，现在写测试用例前会先跑通业务流程。最后阶段参与代码审计，抽检了50行核心交易函数，用静态分析工具FindBugs标记了13处潜在的SQL注入风险点，实际运行时验证了2处确实能拼接出查询语句，审计报告被开发那边采纳后，测试通过率从原来的63提升到71。这段经历让我意识到安全是个需要持续补课的活儿，有些东西学校教的太理论，比如加密算法的实际应用场景，现在明白HTTPS握手过程比课堂模拟复杂得多。公司培训方面吧，感觉新员工安全培训内容跟业务结合不够紧密，比如渗透测试工具讲太多，但实际用得上的就那几个，要是能多带我们看看线上环境遇到的具体问题就更好了。三、总结与体会8周实习像把理论课的抽象概念具象化了。7月1号开始时，我对OWASPTop10的理解只停留在文档上，到8月31号离开时，能亲手用BurpSuite复现CWE79漏洞，并看着自己提交的修复建议被开发团队采纳，这种成就感以前想都不敢想。这8周我把课堂上学到的加密算法知识用上了，参与审计时发现3处AES密钥配置不当的潜在风险，导师说现在系统数据传输的加密强度确实比半年前强了至少一个量级。最大的收获是学会了怎么跟业务结合搞安全，比如测试某个电商模块时，我不再只关心接口有没有SQL注入，而是会想用户下单这个动作全链路有哪些敏感信息暴露，最后整理出10条针对性的测试点，覆盖了从参数传入到数据库存储的整个流程，提交上去他们那边开发测试覆盖面直接从35%提升到58%。这段经历让我明白，安全工作不是找几个漏洞那么简单，更重要的是怎么系统性降低风险，这让我对职业规划有了更清晰的想法。我之前觉得做安全就是会点工具，现在知道还得懂业务、懂开发，以后学习时会更有针对性，打算下学期就报个CISSP的培训，先把基础知识打牢。行业变化太快了，感觉每周都有新的攻击手法出来，这次实习最大的感受就是自己懂得太少了。公司管理上我观察到，安全培训有时会跟业务脱节，比如讲太多高级攻击技巧，但新人更需要的是线上问题排查经验，要是能把内部典型漏洞案例多分享点就更好了。离开那天导师跟我说“安全这活儿学无止境”，确实是这样，从学校到职场的转变，感觉肩上的责任重了，抗压能力也锻炼了不少，这种心态比单纯会几款工具重要多了。接下来会把实习中遇到的问题整理成笔记，特别是那些踩坑的加密应用场景，争取以后面试能聊得更具体些。四、致谢在XX互联网公司8周的实习期间，得到了很多帮助。感谢导师在安全测试方法上的指导，比如那次帮我理清JWT令牌验证逻辑时，用了不少午休时间。感谢团队成员，特别是那位负责后端的同事，每次讨论API安全问题时都会给我讲