互联网安全网络安全公司网络安全实习生实习报告

互联网安全网络安全公司网络安全实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家互联网安全公司担任网络安全实习生。核心工作包括协助完成30个Web应用漏洞扫描任务，修复其中12个高危漏洞，并参与编写了5份安全测试报告。期间应用了OWASPTop10、Nessus等工具进行渗透测试，通过KaliLinux环境下的BurpSuite抓包分析，定位并解决2起DDoS攻击模拟场景。提炼出的方法论包括自动化脚本编写（Python实现日志分析，效率提升40%）、漏洞复现流程标准化，为后续工作形成可复用框架。

二、实习内容及过程

实习目的是想看看自己学的网络安全知识能不能在实际工作里用上，能不能接触到一些真刀真枪的案例。实习单位主要搞云安全和应用防护那块，技术栈挺新的，我接触的是安全测试方向。

开始几周主要是熟悉环境，跟着师傅做漏洞扫描，把公司几个线上系统的OWASPTop10流程跑了一遍。8月5号开始独立负责一个电商小程序的渗透测试，用BurpSuite抓包，发现一个未授权访问API，返回了完整用户数据库。当时挺懵的，查了两天资料，最后用Burp的Repeater工具改包测试，确认是业务逻辑漏洞，不是系统本身的问题。师傅让我写报告，我花了一周整理成文档，包括复现步骤和修复建议，最后被采纳了。

还参与过一次应急响应演练，模拟DDoS攻击，我们小组用Cloudflare和公司自研的清洗设备，大概2小时内把流量降下来。不过中间有个环节搞砸了，我把某个线路的规则设太严，导致正常用户访问卡死，最后师傅教我用Wireshark抓实时流量调整。

实习成果就是完成了5个项目，修复了12个高危漏洞，其中3个是我发现的。技能上会写简单的Python脚本做自动化，比如分析日志文件，效率比手动查快不少。最大的收获是明白渗透测试不是点点点，得懂业务，像那次电商小程序漏洞，关键在于发现接口设计缺陷。

遇到的困难主要是时间管理，有时候一个项目卡住了，其他工作就堆一块，差点逾期。后来开始用Trello列清单，每天先做最要紧的，确实好用点。另一个问题是公司培训不够系统，有些新设备不会用，只能靠问师傅或者看官方文档。建议他们搞个新人知识库，把常见问题和解法整理下，省得老问同一个问题。岗位匹配度上，感觉我学的理论多，实践还是差点意思，要是学校多开些动手课就好了。这次经历让我更确定想往安全开发方向发展，毕竟懂业务才能写出不出事的产品。

三、总结与体会

这8周，从7月1号到8月31号，感觉像是把书上的安全知识真的用在了刀刃上。实习最大的价值闭环，就是我做的那个电商小程序项目，从发现漏洞到写报告上线，整个流程走完，真的有成就感。之前学OWASPTop10觉得是理论，现在知道未授权访问API能直接导出用户数据是真实威胁，这种感觉完全不一样。修复的12个高危漏洞里，有3个是我独立定位的，师傅说挺不错的，这让我觉得之前熬夜看文档、练工具没白费。

这次经历直接拉通了我的职业规划。之前有点模糊，现在更想往应用安全方向发展。实习里发现业务逻辑漏洞那件事，让我意识到安全不是孤立的，懂业务、懂开发，才能做得更深。未来打算把实习里用到的自动化脚本再深化下，争取考个CISSP，感觉这些经验比单纯看几本书收获大得多。9月开始会系统学下云安全那块，实习里接触到的AWS防护策略挺有意思，想多了解下。

行业趋势看，感觉零日漏洞和供应链攻击越来越受关注，像那次DDoS演练，云清洗能力太关键了。我们用的那个SaaS安全平台，整合了多种检测手段，效率确实高。这让我觉得，未来安全攻防一定是体系化的对抗，单点技术很难赢。实习最后那段时间，感觉心态转变挺大的，以前觉得找漏洞是技术活，现在明白沟通、跟进修复流程同样重要，责任感确实重了点，抗压能力也练出来了。这段经历会成为我简历里挺硬核的一块，至少知道怎么把“发现并修复高危漏洞”写得具体可信了。

四、致谢

感谢那家公司给了我这次实习机会，让我能接触到实际的安全项目。特别感谢我的导师，那些关