计算机科学与技术网络科技网络安全实习报告

计算机科学与技术网络科技网络安全实习报告一、摘要

2023年7月1日至2023年8月31日，我在XX公司网络科技网络安全部门担任实习生，负责协助完成网络安全评估与漏洞修复工作。在为期8周的实习中，我参与了3个大型项目的安全测试，累计发现并报告127处安全漏洞，其中高危漏洞23处，均已按规范流程修复。通过应用渗透测试工具Nmap、Metasploit及安全扫描器Nessus，我掌握了自动化漏洞检测与手动渗透测试的技能，并独立撰写了2份详细的安全评估报告，包含漏洞详情、修复建议及复现步骤。实习期间，我实践了“纵深防御”的安全策略，通过部署Web应用防火墙WAF和配置入侵检测系统IDS，成功降低了目标系统的攻击面。这些经历让我熟练掌握了漏洞管理流程与安全工具链应用，形成了可复用的“分层扫描精准修复持续监控”安全工作方法论。

二、实习内容及过程

2023年7月1日到8月31日，我在XX公司网络科技网络安全部门实习，岗位是安全工程师助理。实习目标是把学校学的网络安全知识用到实际工作中，熟悉漏洞管理全流程。公司是做云计算和API安全服务的，客户大多是金融和医疗行业，对安全要求高，技术栈以AWS和Azure为主，用得不少容器化技术和微服务架构。

我主要参与了三个项目。第一个是帮客户做Web应用安全评估，7月10到20日，用Nessus扫了5个系统的漏洞，发现127个问题，高危23个，像SQL注入、XSS、SSRF这些常见漏洞都有，还有几个是逻辑漏洞。我跟着师傅学怎么写漏洞报告，最后交了两份，客户那边反馈修复了19个高危和45个中危，说挺实用的。第二个项目是内部系统渗透测试，8月1到15日，目标是模拟黑客攻击，测试了认证绕过、权限提升等几个方面，发现10个能导致权限控制失效的漏洞，其中两个需要重启服务才能修复，这个让我意识到安全措施不能只靠代码层。第三个是协助搞安全培训，8月20到31日，给销售团队讲了API安全的基础，他们之前对OpenAPI规范理解不深，我结合公司几个客户的案例，比如怎么防恶意请求、怎么设计鉴权机制，他们听后反馈对WAF配置和OAuth2.0实践有了更直观的认识。

过程中遇到两个坎。一个是8月5号做渗透测试时，客户环境用的是私有云，网络访问限制严，工具很多连不上，特别是做内网渗透的Metasploit模块没法用。当时急得不行，师傅建议先从暴露的API接口查起，我花了两天时间逆向分析了几个接口的参数逻辑，最后发现一个未授权访问的接口，绕过了网关防护。这个经历让我明白，条件受限时不能死磕工具，得灵活调整思路，挖掘业务层面的突破口。另一个是写报告时，7月18号提交的Web安全报告，客户技术团队觉得修复建议太模糊，说没指导意义。我回去重看了扫描日志，发现只写了漏洞类型和截图，没结合客户系统架构给出具体修复步骤，又加了两天的班，把每个漏洞对应的系统模块、可能的影响路径、推荐的修复命令都列得明明白白，还配了修复前后的对比图，这次客户那边直接说清晰多了。

这8周收获不小。技能上，我把Nessus的扫描策略从默认模板改成了公司定的工业互联网版，精度提高了30%，还学会了用OWASPZAP做主动扫描，比单纯用Nmap抓包分析漏洞效率高。思维上，以前觉得安全就是打补丁，现在知道得看全链路，从架构设计到运维监控都得考虑，比如那个权限提升的漏洞，其实是中间件版本旧，升级就能解决，但还得跟客户沟通成本。职业规划上，我发现自己对云安全和API安全更感兴趣，想以后往这方面深耕，可能得补补AWS的CertifiedSecuritySpecialty认证。

公司这边也存在点问题。比如管理上，实习生分组有点随缘，我跟着师傅做项目，但其他部门的实习生好像没啥指导，资源分配不太均衡。培训机制也一般，就入职时办了次安全意识培训，没技术深度的，像我这种想学点硬核技术的，感觉资源跟不上。岗位匹配度上，我本来想做红队渗透，但实际工作80%都是辅助测试和报告编写，跟预想的不太一样。

建议吧，管理上可以搞个实习生导师制，按方向分，这样资源能更匀。培训得加代码审计、应急响应这些实操课，可以请内部攻防团队的师傅来讲讲，毕竟我们学生党最缺的就是实战经验。岗位匹配度这块，招聘时最好写清楚工作内容，别让人一头雾水。

三、总结与体会

这8周，从2023年7月1日到8月31日，在XX公司的经历像是在学校理论之外，给我硬生生刻下了些东西。实习的价值，我觉得是闭合了一个圈，以前学TCP/IP、HTTP、加密算法，觉得抽象，现在看漏洞扫描报告里的CVE编号，知道那是真实世界的产品出的问题，修复记录里的工单编号，也是真实被处理的。比如7月15号参与的系统，用Nessus扫出127个漏洞，我写的报告中针对那23个高危漏洞的修复建议，后来看到确实都按我说的做了，那种感觉挺奇妙的，学的东西真的派上了用场。

这段经历直接影响了我的职业规划。以前模糊觉得做安全挺好，现在更具体了。我知道了自己喜欢搞搞渗透测试，也认识到API安全是未来趋势，那些金融客户对OAuth2.0、JWT的防护要求有多细致，我就知道这块要深耕。所以下学期打算系统学学AWS和Azure的安全服务，可能明年就冲个OSCP认证试试，把简历上这块实习经历用技能点撑起来。

行业趋势这块，实习里感受最深的是零信任和云原生安全。客户那边好几个系统都是容器+微服务，安全边界模糊了，单纯靠防火墙根本不够。师傅教我的时候，提了SPFI模型，怎么用服务网格Istio做流量加密和鉴权，还有那几个API网关的WAF策略配置，真是大开眼界。现在看网上那些云安全大厂的技术文章，突然就都串起来了，感觉这行技术迭代快得吓人，不持续学真会被淘汰。

心态转变是最大的收获。以前做实验，写报告错个字、漏个包都不当回事，现在不一样了。7月25号那个高危漏洞修复建议，客户技术那边反复问细节，我熬夜补充了三个版本的说明，虽然最后搞定了，但那种被信任又怕出错的压力感，挺真实的。现在写东西、调试脚本，都下意识要严谨，毕竟那可能是客户系统的安全。这种责任感，我觉得比学会什么命令更重要。

当然，实习也让我看清了不足，比如对业务逻辑的理解还浅，有些漏洞的根本原因分析不深。这提醒我下阶段得加强实践，多接触不同行业的代码审计案例。总的来说，这段经历像是个催化剂，把我对技术的热情推到了新高度，也让我更清楚未来该怎么跑。

四、致谢

感谢在实习期间给予指导的导师，在遇到技术难题时总能耐心讲解，让我对网络安全有了更