信息安全网络安全公司实习生实习报告

信息安全网络安全公司实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家信息安全网络安全公司担任实习生，岗位为安全分析师助理。核心工作成果包括协助完成3次漏洞扫描，修复12处高危漏洞，并参与撰写2份安全评估报告。期间应用了Nmap、Wireshark等工具进行网络流量分析，通过Python脚本自动化处理日志数据，处理数据量达5GB。提炼出的可复用方法论包括：标准化漏洞扫描流程，建立漏洞优先级排序模型，以及利用机器学习算法优化威胁检测效率。这些工作验证了我在网络安全领域的技术应用能力，为后续职业发展奠定实践基础。

二、实习内容及过程

实习目的主要是了解真实的安全工作场景，把学校学的理论知识用上，看看自己到底喜欢哪块。

实习单位是做网络安全服务的一家公司，主要是帮企业搞安全防护，有渗透测试、应急响应、安全咨询这些业务。

实习内容挺多的，主要是跟着师傅做安全评估项目。7月5号到10号，参与了一个电商客户的渗透测试，我是负责测试其Web应用这块。用BurpSuite抓包分析，发现了两个SQL注入，一个是可以直接登入后台的，另一个是影响订单信息的。师傅教我怎么写POC，最后提交上去，客户那边很快就修复了。还用了Nmap扫了几个端口，发现了个未授权访问的行政接口，关掉了就好了。这次项目里，我协助提交了大概30个漏洞，其中高危的有7个。

7月18号开始，又参与了另个项目，是给一家金融机构做风险评估。主要是看他们现有的安全策略符不符合行业要求。我负责整理文档，把扫描工具出的结果翻译成报告里能用的语言。用的工具主要是Nessus，扫描了客户环境里5台服务器和10个应用系统，输出了200多页的报告。其中有几个是关于加密算法配置的问题，我查了好多资料才搞明白，最后在报告里写了改进建议。

遇到的困难是刚开始不太懂这些漏洞的实际危害，只是知道技术细节，但说不出为什么这漏洞要修。有次师傅让我分析一个XXE漏洞，我查了资料也觉得影响不大，师傅说这客户系统特别旧，得重点讲。后来我专门研究了一下XXE在各种场景下的风险，才明白师傅的意思。还有就是写报告的时候，总觉得说不到点子上，师傅就让我多看一些专业的安全报告，学习怎么组织语言。

实习成果就是协助完成了两个项目，提交的漏洞有9个被客户确认是真实存在的。个人感觉最大的收获是学会了怎么把技术问题转换成业务价值，比如解释一个XXE漏洞怎么可能被用来拖垮服务器。技能上，Nmap和Wireshark用得更熟练了，还学会了用Python写简单的脚本自动分析日志。

公司这边呢，我觉得管理上有点乱，项目切换频繁，有时候不太清楚自己的任务到底是什么。培训机制也不太行，都是师傅带，但师傅们忙起来就没人管了。岗位匹配度上，感觉我做的偏技术实施多一些，要是能有更多机会接触策略这块就好了。

我建议公司可以考虑搞个标准化的培训流程，至少让新人有个明确的学习路线。项目上可以试试用看板管理，把任务都摆明了，大家也好配合。另外，能不能搞点线上学习资源，比如搞个内部知识库，这样师傅忙的时候，我们也能自己学点东西。

三、总结与体会

这八周，从7月1号到8月31号，在公司的经历让我感觉挺不一样的。以前在学校搞实验，环境都控制好了，问题也跑得准。真到了实际项目里，发现情况复杂太多了，5GB的日志要手动看根本不可能，所以学用Python脚本处理数据，效率确实高。参与的两个项目，提交的9个漏洞被客户确认，这让我觉得自己的工作是有价值的，不只是做做样子。帮客户找到并解决安全问题，那种成就感挺实在的。

这次实习让我更清楚自己想干什么了。之前觉得渗透测试挺酷，但后来发现日常安全运维、策略制定这些也挺重要的。公司里接触到的风险评估报告，里面关于加密算法配置的建议，我觉得挺有意思。这让我想之后在学习上，除了技术实现，也可以多关注下安全管理体系这块。实习结束回去之后，我打算系统学一下ISO27001这些标准，看看能不能考个CISSP证书，感觉这对未来找相关工作有帮助。

行业变化很快，感觉每天都能听到新的攻击手法和防御技术。这次用到的Nmap、Wireshark这些工具有点老了，师傅说现在很多人用更高级的工具了。AI在安全领域的应用也越来越多，像用机器学习识别异常流量，我觉得这挺有前景的。虽然实习期间觉得管理上有点乱，培训也差点意思，但确实学到了不少东西。最大的体会就是，学生时代做实验可以慢慢来，反复试，但职场环境要求你快速响应，压力大很多。从这点上，感觉自己抗压能力得锻炼锻炼。以后遇到问题，不能像以前那样先想躲开，得主动去解决，这算是从学生到职场人的心态转变吧。这段经历肯定会成为我简历上挺亮眼的一块，至少证明我动手能力不差，也懂点行里的事。

致谢

在公司实习的这八周，确实挺受帮助的。师傅在关键问题上给的建议，挺有用的，不然我可能还在原地打