计算机科学专业XX互联网安全公司网络安全工程师实习生实习报告

计算机科学专业XX互联网安全公司网络安全工程师实习生实习报告一、摘要2023年6月5日至8月23日，我在XX互联网安全公司担任网络安全工程师实习生，负责协助完成Web应用安全测试及渗透测试任务。期间，累计完成30个项目的安全评估，发现高危漏洞12个，中危漏洞45个，低危漏洞78个，并提交完整漏洞报告23份，其中8个漏洞被客户采纳并修复。熟练应用Nmap、BurpSuite、Wireshark等工具进行网络扫描、抓包分析及漏洞复现，通过编写Python脚本自动化测试流程，将重复性任务效率提升40%。提炼出基于OWASPTop10的漏洞检测方法论，形成可复用的漏洞扫描模板，覆盖SQL注入、XSS、CSRF等常见攻击场景，为后续安全测试工作提供标准化参考。二、实习内容及过程2023年6月5日到8月23日，我在XX互联网安全公司当网络安全工程师实习生，跟着师傅们搞Web安全测试。实习初期，主要学习公司漏洞管理流程，从接收需求到提交报告，全程参与了一个电商平台项目。师傅教我用BurpSuite抓包，分析请求参数，发现一个存储型XSS，通过手动构造payload，结合浏览器开发者工具里的Network面板，定位到具体代码位置，最后用SQL注入检测工具验证了逻辑。7月10号开始独立负责旅游APP的渗透测试，用Nmap扫了200个IP，找出30个开放端口，重点盯了3个API接口。有个越权漏洞挺烦人，用户访问别人的订单数据，一开始没看懂权限校验逻辑，对着API文档看了两天，发现是参数覆盖问题，改用BurpSuite的Repeater改参数试了3遍才成功。期间还参与了两次应急响应，处理过一次DDoS攻击，看着流量图从300G飙到2000G，挺刺激的。公司流程确实挺规范的，但培训里缺少蓝盒环境的搭建实操，有时候得自己摸着石头过。比如做某项目时，没现成测试账号，花了一周时间用脚本批量生成测试用例，效率不算高。8月初，我开始整理漏洞模板，把常见的SQL注入、CSRF、文件上传漏洞的复现步骤写下来，师傅说下次能用上。这8周里，提交了23份报告，高危漏洞占比不到10%，但都挺有价值的，比如一个整站XSS让我意识到前端的防御不能光靠WAF。最大的收获是学会了怎么跟开发沟通，漏洞描述得啰嗦开发不重视，得用他们能看懂的话，比如把SSRF说成“能直接访问内网服务”而不是“服务器响应异常”。公司管理上，周会时间有点长，有时候技术问题得等半天，但大家讨论得挺认真。建议搞个内部漏洞复现库，现在每次遇到新漏洞都要重新查资料，挺浪费时间的。岗位匹配度还行，就是希望有更多主动挖掘漏洞的机会，现在大部分是走流程，有点闷。这经历让我想往渗透测试方向发展，但知道还得学不少东西，比如内网渗透和APT分析，得慢慢来。三、总结与体会这8周，从6月5号到8月23号，在XX互联网安全公司的经历，让我的实习价值形成了一个闭环。刚来时，觉得安全就是用工具扫扫漏洞，但实际发现，真正重要的是理解业务逻辑，比如7月15号在旅游APP项目里发现的越权漏洞，关键不在于工具，而是跟着订单流程走了几天，才明白参数覆盖的细节。提交的23份报告，12个高危漏洞的挖掘过程，都印证了理论知识要结合实际场景才有生命力。这让我明白，安全工作不是简单的技术堆砌，而是需要耐心和细致，面对几百个请求参数，得一个一个试，有时候改参数试了三四遍才出结果，这种经历比学校实验有意思多了。这段经历直接影响了我的职业规划。实习前想做纯开发，现在确定要做安全了，特别是渗透测试方向。公司里处理DDoS应急响应的那两天，看着监控后台流量飙升，心里挺紧张的，但也意识到那才是安全工程师的真正战场。我计划下学期重点学内网渗透和恶意代码分析，打算今年底考个CISSP，把公司用的那些流程、术语都记下来，比如漏洞评级标准、报告模板，这些都是书本上没有的。师傅常说“安全是实践出来的”，我现在懂了，比如SQL注入的盲注技巧，光看书根本学不会，得在靶机上一遍遍试，感受延时、反弹shell的各种区别。看着提交的报告被客户采纳，修复了那些我发现的XSS和CSRF，心里挺踏实的。行业趋势这块，感觉现在云安全和数据安全越来越重要，公司接的项目里不少都是大厂，对安全的要求特别高，比如零日漏洞的响应速度。我觉得自己最大的体会是心态变了，以前做项目是完成任务，现在是想着怎么把事情做好，7月那次应急响应里，虽然帮不上大忙，但跟着团队一起排查，那种责任感挺强的。未来要是继续走这条路，抗压能力、沟通能力都得练起来，毕竟安全工程师不光要懂技术，还得跟开发、产品经理打交道。这段经历虽然不长，但确实让我成长不少，从学生到职场人的转变，就是从觉得“知道了”到真正“弄懂了”这一步。致谢2023年6月5日至8月23日，在XX互联网安全公司的实习经历，离不开很多人的帮助。感谢公司给我这个机会，让我接触到了真实的安全项目。特别感谢我的导师，从最初的手把手教我用BurpSuite分析请求，到后来让我独立负责旅游APP的渗透测试，每一步都挺耐心。跟着他学，才知道怎么把漏洞复现过程写得清晰，怎么跟开发沟通才有效。还有那些一起工作的同事，有时候遇到技术难题，大家一起讨论，有人分享Wire