互联网安全测试工程师实习报告

互联网安全测试工程师实习报告一、摘要

2023年7月1日至2023年8月31日，我在XX互联网公司担任安全测试工程师实习生。期间，我主导完成对5个核心业务系统的渗透测试，发现并修复23个高危漏洞，其中3个被列为年度TOP漏洞。通过应用自动化脚本技术，将常规漏洞扫描效率提升40%，日均测试覆盖率从80%提升至95%。熟练运用OWASPZAP、BurpSuite等工具进行漏洞复现，并参与编写了《移动端应用安全测试规范V1.0》，该文档在后续2次项目中直接应用，问题发现率提高25%。实习成果验证了我在漏洞分析、安全工具链应用及流程优化方面的实践能力，积累了可复用的漏洞挖掘方法论。

二、实习内容及过程

2023年7月1日至8月31日，我在一家做电商平台的互联网公司实习，岗位是安全测试工程师。实习前想多了解真实世界的渗透测试流程，顺便把学校学的知识用上。公司主要做C2C和B2C业务，系统架构以微服务为主，安全需求挺高，对移动端和Web端都挺看重。

实习初期跟着师傅熟悉环境，用了两周时间摸底。期间翻了公司之前的测试报告，发现他们常用的扫描器是OWASPZAP和Nessus，但师傅说光靠扫描器不行，得手动绕过WAF。我接手了新上线的支付系统，目标是找高危漏洞。系统用了JWT做认证，还加了HSTS和CSP，难度不小。

第3周开始独立测试，花了5天把系统所有接口爬一遍。用BurpSuite抓包，发现JWT加密方式是HS256，密钥直接写在配置文件里。我把密钥反编译出来，暴力破解了其他用户的Token，绕过了认证。师傅一看就夸我思路对，但说不能直接用这个Token，得找更隐蔽的漏洞。后来我发现一个逻辑漏洞，用户下单后可以修改订单金额再取消，金额能改到负数，这属于典型的业务逻辑漏洞。

第6周参与了一个移动端APP的测试。APP用了动态加载，证书是自签的，一开始连不上。我装了企业证书才进得去，发现代码混淆挺严重，但用IDAPro反编译后，还是定位到几个硬编码的API密钥。通过修改这些密钥，我能直接调用后台接口，比如改用户的积分。这个漏洞挺棘手，因为APP更新频率高，刚提交的漏洞补丁可能过几天就被版本覆盖了。最后我用了模糊测试，在APP打包文件里插入恶意脚本，触发了一个内存溢出，这样即使版本更新了，漏洞还是存在。师傅说这种手法挺高级，让我多学习。

实习后期参与编写了《移动端应用安全测试规范V1.0》，里面写了证书管理、代码审计要点、动态调试方法等，后面2个项目直接用了这份文档，问题发现率确实提了25%。期间遇到的最大挑战是时间管理，有时一个漏洞要查好几天，比如上次发现一个SSRF漏洞，但需要逆向整个服务链路才能确认，最后花了3天才搞定。我学着用Jira跟踪进度，把任务拆成小目标，效率好点。

公司的培训机制不算完善，入职时没给完整的安全体系资料，很多知识都得自己找。而且岗位匹配度上，我更想做红队渗透，但实际工作大多是蓝队辅助和测试工具使用，有点浪费时间。如果我能早知道这些，会提前自学更多红队技术，比如APT攻击链分析。改进建议是公司能不能多给些新人培训资源，比如开源工具教程和安全文档库，或者安排资深工程师带徒弟，减少我们摸石头过河的时间。这段经历让我明白，安全测试不是光会工具就行，得懂业务、会逆向，还得有耐心，有时候一个漏洞得查一周。

三、总结与体会

这8周实习，感觉像是把书里那些安全概念变成了实实在在的东西。7月1号刚进公司时，我对CI/CD流程里怎么塞安全测试环节还不太懂，8月31号走的时候，我已经能独立把动态应用安全测试（DAST）集成进他们的Jenkins流程了，覆盖率从之前的60%提到了90%，这个数据是实打实的。实习的价值闭环就在这，从不知道怎么落地，到能做出具体改进，中间每个细节都记得挺清楚。比如我调优OWASPZAP的规则集，针对他们的业务特点排除了大量误报，让日均有效漏洞产出从5个涨到了8个，这个提升是师傅确认过的。

这次经历直接影响了我的职业规划。以前觉得做安全就是黑盒测试，现在明白蓝队工作同样重要，像应急响应、日志分析这些，都是我之前没考虑过的方向。公司里负责这些的是另一团队，但我跟他们聊过，发现很多问题其实可以在测试阶段预防。我打算下学期深入研究SIEM系统，顺便考个CISSP，把知识体系补全。行业趋势这块，现在大家都在说云原生安全、供应链攻击，我在实习里碰到的几个微服务漏洞，让我真切感受到攻击面扩大带来的挑战。如果以后能做红队，我想先专注云安全方向，毕竟现在容器、Serverless这么火，漏洞藏得也更深了。

心态转变是最大的收获。实习前觉得找漏洞就是会点工具，可真面对复杂业务时，会发现漏洞往往藏在流程细节里。比如那个支付系统的JWT密钥问题，如果只是扫描，根本发现不了。师傅教我“从外围看内部”的方法，先找系统依赖，再顺藤摸瓜挖核心逻辑，这种思路比单纯用扫描器强太多了。还有抗压这块，8周里提交的漏洞有高危也有低危，一开始有点烦，后来明白安全测试就是不断试错的过程，只要方法对，总会找到突破口。从学生到职场人，最大的变化就是责任感，以前做实验可以随便点，现在提交一个漏洞报告都要反复确认，生怕影响线上业务。这种严谨态度，以后做任何事都应该保持。

实习也暴露了我的不足，比如对代码审计的理解还停留在表面，遇到复杂逆向时还是会懵。下学期我打算找几个开源项目，用IDAPro和Ghidra实践一下，把工具技能补上。总的来说，这次实习让我明白安全测试不是闭门造车，得结合业务、懂技术、还会沟通，这些能力都是学校里学不到的。未来不管是继续深造还是直接工作，这段经历都将是我的底气。

四、致谢

感谢在实习期间给予我指导和帮助的团队。特别感谢我的导师，在实习初期帮助我快速熟悉工作环境和流程，解答了我很多关于漏洞分析和渗透测试的具体问题，比如如何从日志中追踪攻击链，以及如何编写清晰有效的漏洞报告。他的经验分享让我受益匪浅。

感谢团队里其他同事，他们在我遇到困难时，比如使用BurpSuite进行会话管理遇到问题时，