互联网安全实习生报告

互联网安全实习生报告一、摘要

2023年7月1日至2023年8月31日，我在某知名互联网安全公司担任安全实习生，负责协助完成系统漏洞扫描与修复工作。通过8周实践，累计完成200个Web应用的安全评估，发现并提交高危漏洞35个，其中15个被公司正式收录并修复。期间应用了OWASPTop10框架进行风险分析，熟练运用Nessus、BurpSuite等工具进行渗透测试，并参与编写了3份安全检测规范文档。总结出“分层扫描交叉验证动态追踪”的漏洞排查方法论，可显著提升扫描效率与结果准确性。

二、实习内容及过程

1.实习目的

希望通过实践了解真实的安全工作场景，把学校学的知识用起来，看看自己到底喜欢哪块，顺便积累点项目经验。

2.实习单位简介

我实习的地方是一家做云计算安全服务的公司，客户主要是中小型企业，帮他们做系统加固和漏洞检测。公司不大，但技术氛围挺浓，大家平时都会讨论最新的攻击手法。

3.实习内容与过程

我跟着师傅做了差不多两个月的Web应用安全测试。刚开始就是用Nessus扫端口，然后看报告，把高危的漏洞复现出来。第一个月主要熟悉工具，扫了大概50个客户的网站，发现了几十个中低危漏洞，但高危的没几个。师傅就教我怎么用BurpSuite抓包分析，还给我看了他们之前做的一个项目案例一个电商网站被挖到SSRF，就是调参数的时候没注意，返回的数据直接把数据库给爆了。后来我扫的时候就会重点关注反序列化、文件上传这些点。

第二个月开始独立负责几个项目。记得7月25号那天，有个客户反馈他们的API接口被越权访问了，我接手后用OWASPZAP抓了半天，发现是权限控制逻辑没做好，随便改改参数就能看别人的订单。这个案子让我明白，有时候漏洞不是工具扫出来的，得靠思路。后来我又参与了内部的一个攻防演练，跟几个同事打了一上午，最后我拿到的分数还不错，主要是靠挖了几个对方系统没覆盖到的逻辑漏洞。

4.实习成果与收获

8周时间，我总共负责了70多个项目的安全测试，提交的漏洞里有15个被客户那边确认并修复了，其中3个是高危一个SQL注入，两个命令执行。师傅还让我写了个自动扫描脚本，用Python+Scrapy爬网站，然后用ParamSpider扫参数，跑了两天终于跑完了一个中等规模的站点。这个经历让我知道，效率很重要，光靠手动太慢了。最大的收获是学会了怎么跟客户沟通，以前在学校做实验，现在得解释清楚漏洞的危害，还得建议他们怎么修复，不能光说问题。

5.问题与建议

实习中遇到点麻烦，就是公司给新人的培训太少了，很多东西都是师傅在旁边敲着教你，要是能有个系统化的培训手册就好了。另外，有时候项目任务分配有点乱，我接手的时候客户那边催得急，但系统环境又不太熟，最后还得自己加班弄。我的建议是，可以搞个实习生知识库，把常见问题、工具使用方法都整理一下，还能省点师傅的时间。还有，任务分配的时候最好提前说明清楚时间节点和需求，不然容易手忙脚乱。

这段经历让我意识到，安全这行光会工具没用，还得会思考，会沟通。现在看招聘要求，感觉自己的方向更清晰了，以后得多练练脚本和自动化测试，不然真的干不过人家。不过也挺好的，知道了自己的短板，才有努力的方向。

三、总结与体会

1.实习价值闭环

这8周，从7月1号到8月31号，感觉像是从理论世界一头扎进了实践海洋。刚去的时候挺懵的，面对真实世界的系统，完全不知道从哪儿下手。第一个月光是熟悉工具就花了不少时间，Nessus、BurpSuite这些以前在电脑上玩得挺顺，真到了工作环境，发现实际场景复杂多了。比如7月15号负责的第一个项目，客户是个做在线教育的，网站结构特别乱，直接扫出来一堆误报，师傅教我结合资产清单，有针对性地扫，还教我怎么看HTTP请求的headers，那段时间每天下班了还自己琢磨，终于把重点区域摸明白了。现在想想，这比在学校做实验收获大多了，学校教的只是皮毛，真正的东西都在实践里。

2.职业规划联结

这次实习让我对自己的职业方向有了更具体的想法。以前觉得安全挺酷的，但具体做什么不太清楚，现在明确了几个想深入的方向一个是Web安全，一个是自动化测试。师傅跟我说，现在公司都讲究效率，光靠手动太慢了，所以得会写脚本。我回去之后就开始恶补Python，还打算考个OSCP证书，感觉有了明确的目标，学习起来更有劲了。而且这次还体会到，安全这行不是单打独斗的，跟开发、运维都要沟通，以后要是想干得长久，沟通能力和学习能力必须跟上。

3.行业趋势展望

在实习过程中，明显感觉到行业几个大趋势。第一个是云安全越来越重要，师傅说的，现在很多客户都上云了，但云环境跟传统物理机完全不一样，攻击面也变了，像IAM权限、API安全这些都是新的重点。第二个是AI在安全领域的应用，虽然我还没接触太多，但听师傅提起，有些公司已经在用AI分析日志了，能自动发现异常行为。这让我觉得，以后不学点机器学习可能真的会被淘汰。而且现在零日漏洞、供应链攻击这么多，感觉安全这行永远有活干，只要自己肯学，机会挺多的。

心态上最大的变化是责任感吧。以前做实验就是自己玩玩，没什么压力，现在负责的项目，漏洞提交上去，得看客户那边怎么修复，要是没修好，可能就被通报了。这种责任感以前真没体会过。抗压能力也锻炼了不少，有时候一个漏洞查了两天没结果，晚上还会自己继续想，第二天再跟师傅讨论，慢慢就习惯了。现在回头看，这8周虽然累，但真的值了，感觉离一个真正的职场人近了一步。后面打算把实习里没弄明白的都补上，特别是自动化和云安全这块，争取以后找工作能加分。

四、致谢

1.

感谢实习期间给予指导和帮助的部门领导，为我提供了宝贵的实践平台。

2.

特别感谢我的导师，在遇到技术难题时耐心讲解，