计算机应用技术网络安全公司网络安全实习生实习报告

计算机应用技术网络安全公司网络安全实习生实习报告一、摘要2023年7月10日至2023年9月5日，我在一家网络安全公司担任网络安全实习生，负责协助团队进行渗透测试和漏洞分析工作。在为期8周的实习中，我参与完成了3个项目的安全评估，累计发现并提交高危漏洞28个，中危漏洞47个，其中5个漏洞被纳入公司漏洞库并用于后续安全培训。通过实践掌握了Nmap、Wireshark、Metasploit等工具的高级应用，并独立撰写了2份详细的漏洞分析报告，覆盖了Web应用、API接口及数据库安全领域。提炼出的自动化脚本检测方法，将常规漏洞扫描效率提升了35%，相关代码已整合进团队知识库。二、实习内容及过程1.实习目的去，就是想看看真实环境里搞网络安全是啥样，理论得怎么用，顺便积累点项目经验。不想白瞎学校教的那些课，得弄点真本事出来。2.实习单位简介我在的公司，不大，但挺专注做安全这块儿。团队不大，也就十来个人，但每个人都挺拼的。主要搞企业级安全方案，客户都是那种大厂，系统复杂得很。3.实习内容与过程我是跟着一个师傅干的，主要是做渗透测试和漏洞分析。刚开始就是看师傅怎么跑流程，后来慢慢上手。记得7月15号开始接触第一个项目，是个电商平台，得找他们的Web漏洞。用BurpSuite抓包，发现一个SSRF（服务器端请求伪造）没过滤，直接爆了几个内部接口。后来又弄了个API接口测试，用了OWASPZAP，发现了个权限绕过，把普通用户能访问到管理员数据了。有个挑战是8月2号遇到的后门植入问题。对方系统是老版本的，我试了N种姿势都搞不定，最后师傅教我用Metasploit的payload，还得改下参数，才勉强进去了。学到了不少东西，原来实战跟玩靶场不一样，得灵活变通。4.实习成果与收获8周里，我参与3个项目，提交了75个漏洞，高危的有5个。师傅还让我独立写了两个漏洞报告，虽然写得烂，但改了三次才过关。最大的成就是那个后门事件，虽然过程曲折，但最后解决问题了。现在对漏洞挖掘、利用和报告都熟了点，感觉比学校那套讲得明白。5.问题与建议公司培训机制有点弱，就是直接扔任务，没人手把手教。有时候干到半夜都不知道对不对，得等师傅看。建议多搞点岗前培训，至少把安全工具的常用命令、排错方法讲明白。另外，有些项目流程太随意了，漏洞提交后没人及时跟进，得改进下管理。三、总结与体会1.实习价值闭环这8周，感觉就像把书上的知识缝进现实里。刚开始7月10号去的时候，心里直打鼓，生怕啥也学不到。结果师傅给我分配任务，让我用Nmap扫个内网，我手一抖用了个错误的参数，结果扫描全错了，被师傅说了顿。那天晚上回去，对着书和网上的教程研究了3个小时，第二天又试，这次对了。这种感觉，就是学到了真东西。实习结束9月5号走的时候，我写的那个漏洞报告，师傅说比上次强了，虽然还是得改，但至少方向对了。这8周，从啥也不懂到能独立跑个流程，闭环了。2.职业规划联结这段经历让我更清楚自己想干啥了。以前觉得网络安全就是敲敲键盘，现在知道里面门道深得很。我发现自己对付Web安全挺有兴趣，尤其是挖掘那种隐藏很深的功能点漏洞。接下来打算深挖这块，先把OWASPTop10搞透，10月考个CISSP，虽然知道难，但得试试。实习里那几个漏洞挖掘的思路，我现在还琢磨着呢，感觉比学校老师讲得生动。3.行业趋势展望在那家公司，感觉现在企业安全越来越重视了，尤其是API安全这块，我参与的三个项目里，有两个都是API测试，而且发现的问题不少。师傅说现在攻击者越来越会用了，那种零日漏洞利用，听着就吓人。我那天看个新闻，说某大厂被黑的损失几个亿，就是因为个不起眼的服务器配置问题。所以啊，以后这块肯定火，但要求也高，不学点真本事不行。实习里用到的那些东西，比如BurpSuite、Metasploit，感觉就是未来几年的标配，得一直学。4.心态转变以前在学校，做实验报个漏洞就完事了，觉得挺牛。现在知道，真实环境复杂多了。7月25号有个项目，客户催得紧，我熬夜改了三个方案，结果提交上去还是得改，当时真觉得憋屈。但师傅跟我说，这就是实战，不经历这些，以后真遇到事儿就懵。现在想想，确实是这样，那段时间虽然累，但抗压能力确实上来了。从学生到职场人，感觉就是责任感和时间观念强了好多。致谢1.感谢在实习期间给予我指导和帮助的团队，特别是我的导师，在关键问题上给了我很多启