互联网安全工程师实习生实习报告

互联网安全工程师实习生实习报告一、摘要

2023年6月5日至8月22日，我在XX公司担任互联网安全工程师实习生，负责协助完成网络安全漏洞扫描与修复。通过运用Nessus、BurpSuite等工具，累计完成30个Web应用系统的安全评估，发现高危漏洞12处、中危漏洞28处，并推动完成所有高危漏洞的修复。参与编写了《XX系统安全加固手册》，整合了OWASPTop10风险防范措施，将系统安全评分从72提升至86。期间，将KaliLinux渗透测试模块应用于实际场景，掌握了自动化脚本编写与漏洞利用链分析，形成可复用的安全检查清单，覆盖了密码策略、权限控制、API接口等关键环节。

二、实习内容及过程

2023年6月5日到8月22日，我在一家做互联网安全服务的公司实习，岗位是安全工程师助理。主要是跟着师傅们做网络安全评估，接触最多的就是Web应用渗透测试。

刚开始的时候，师傅给我安排了学习Nessus和BurpSuite的使用，大概花了两周时间熟悉工具的基本操作。6月18号开始参与实际项目，第一个任务是帮一个电商系统做安全扫描，发现这个系统密码策略太弱，好多用户都是弱密码。当时用的是默认的Nessus扫描模板，扫描了5个晚上，报告出来有23个高危漏洞，其中12个是SQL注入，另一个是XSS跨站脚本攻击。我们团队花了10天时间修复这些漏洞，修复后重新扫描，高危漏洞清零，中危还有7个，主要是权限控制上的问题。

有个挑战是7月9号遇到的一个SSRF（服务器端请求伪造）漏洞，一开始没太反应过来，后来师傅让我用BurpSuite的Repeater功能手动构造请求，发现可以通过这个漏洞访问内网接口。为了搞懂这个漏洞，我看了OWASP的文档，还用Python写了个小脚本模拟攻击，最后和师傅一起完善了系统外的网关防护，把这个漏洞给堵住了。学到了不少东西，主要是漏洞原理分析和手工调试的能力。

8月初参与编写安全加固手册，把我们平时修复漏洞的经验总结成流程，比如强制HTTPS重定向、API接口参数校验等，这些都能直接用。实习最后做的成果是帮三个新上线的小程序做安全评估，发现5个逻辑漏洞和8个配置问题，都提交给了产品部门，他们后来都改了。

公司的培训机制其实一般，很多东西都是看师傅们怎么操作才学会的，感觉岗位匹配度上，还是理论多实践少，有时候觉得挺受限制的。要是能多给些独立操作的机会，或者搞点线上实环境演练就好了。我自己的想法是，安全这行真的得持续学习，技术更新太快了，这次实习让我更确定要往这个方向发展。

三、总结与体会

这8周实习，从2023年6月5号到8月22号，感觉像是从书本走向了真实战场。以前觉得网络安全就是看懂几个协议，现在明白了漏洞扫描、修复、应急响应整个流程有多复杂。参与的项目里，最让我有感触的是那个电商系统，30个Web应用扫描出12个高危漏洞，修复过程虽然累，但每次看到Nessus报告里高危标记消失，心里特别踏实。这让我真切感受到，安全工作不是做做实验，而是真真切切能保护东西不被黑。

这次经历直接影响了我的职业规划。之前想泛泛学安全，现在清楚了自己想往渗透测试方向发展。公司用的KaliLinux环境、BurpSuite插件开发，这些都是我接下来要重点补的。打算明年考个CISSP证书，先把基础打牢。行业里现在都在谈云安全、零信任，感觉这些新概念背后都是老原理的延伸，技术迭代太快了，不持续学真跟不上。

实习最大的改变是我的心态。以前做实验遇到问题可能抱怨半天，现在知道要主动找师傅或者查文档，7月9号那个SSRF漏洞排查了两天，虽然最后解决了，但那种责任感明显不一样了。抗压能力也强了点，比如8月初连续3天加班修复小程序漏洞，虽然累但感觉值。

走出来再看学校学的知识，发现很多理论要在实际场景里验证才懂。比如蜜罐技术，学校讲是理论，实习时看到师傅用CobaltStrike模拟攻击，才明白怎么通过假目标诱捕真威胁。未来学东西会更有方向，实习里发现的短板，比如脚本编写，现在就开始用Python写自动化工具，边学边做，希望能快点把技术打磨得更好。

四、致谢

在XX公司实习的8周时间里，得到了很多帮助。师傅在技术上传授了好多东