计算机科学软件园网络安全实习生实习报告

计算机科学软件园网络安全实习生实习报告一、摘要

2023年7月10日至2023年8月27日，我在计算机科学软件园担任网络安全实习生。核心工作成果包括完成30个漏洞扫描报告，其中15个高危漏洞得到修复，并参与搭建3个安全测试环境。应用OWASPZAP和Nessus工具进行渗透测试，累计发现并记录87处安全风险点，其中23处涉及跨站脚本（XSS）漏洞。通过实践掌握了漏洞生命周期管理流程，提炼出基于资产分类的风险优先级排序法，可复用于中小型企业安全基线搭建。技能方面深化了TCP/IP协议栈分析能力，通过Wireshark捕获并分析过万条网络流量数据，验证了HTTPS加密隧道中的异常包检测逻辑。

二、实习内容及过程

2023年7月10日入职，在计算机科学软件园的网络安全组跟着师傅干。主要帮着做漏洞扫描和报告整理，期间跑了30个线上系统，用OWASPZAP和Nessus把发现的问题分类标记。8月5号那个礼拜特别忙，集中处理了10个Web应用的安全问题，其中3个是SQL注入，手法挺老的但有人还用，得一个个抓。有个挑战是8月15号帮着做内网渗透测试，环境比较杂，得先梳理清楚网络拓扑才能下手，不然很容易卡在某个防火墙规则上。那时候对着Wireshark抓包抓到眼花，师傅教我用TCP流重放的方法定位某个服务器的异常响应，最后在一个HTTP请求头里找到加密算法的配置错误，挺有意思的。期间还参与了3个安全靶场的搭建，用Docker部署好环境后，跟组里的人对靶标打分，我这8周总共记录了87个风险点，高危的有15个，最后都修复了。最大的收获是学会了怎么写漏洞报告，以前写报告都是照着模板填，现在知道得先说清楚影响范围，再给修复建议，得让运维那边能看懂。实习单位管理上有时候任务分配不太清晰，比如8月20号接到的临时测试任务，没提前说好背景，浪费了两天搞明白需求。建议可以建个共享文档，把项目背景和测试范围都列清楚。岗位匹配度上，我挺喜欢动手实践的，但有时候写文档的活儿还是有点多，希望以后能多接触点实际攻防。这段经历让我意识到，安全这行光会工具不行，还得懂业务，比如这次帮着做供应链系统的测试，得知道物流流程才能找到破绽。对我职业规划影响挺大的，现在更想往渗透测试方向发展，但明白得还得继续学东西，比如那会儿遇到的零日漏洞分析，我连入门都没摸到门道。

三、总结与体会

这8周在计算机科学软件园的经历，让我把书本上的那些安全概念给具象化了。7月10号刚去的时候，面对真实的网络环境还是有点懵，特别是8月2号第一次独立负责一个电商平台的漏洞扫描报告时，手心都出汗了，生怕漏了什么关键问题。现在回看，那30份报告，87个风险点，每一个都跟实际业务挂钩，这跟在学校做实验完全不一样，得考虑怎么跟运维沟通，怎么让他们理解漏洞的危害。师傅教我写报告的时候说，安全不只是找到漏洞，还要能推动修复，这话我一直记着。

实习最大的价值闭环，就是从发现问题到推动解决的全过程。比如8月15号那次内网渗透，本来以为能直接跳过某个防火墙，结果发现规则比预想的复杂，花了两天时间用Wireshark逐包分析，最后定位到是某个服务器的SSL证书配置问题，导致加密强度不够。这让我明白，安全攻防就是一场耐心和技术的较量，光靠工具不行，还得懂协议，懂环境。这段经历也让我职业规划更清晰了，以前觉得搞安全就是敲敲代码，现在知道要结合业务，要做个“杂家”。未来打算系统补齐几个短板，比如8月20号遇到的那次供应链系统测试，因为对物流行业不熟，抓不到关键的测试点，得找个时间把行业知识补上，顺便准备个CISSP证书，把理论知识跟实践更紧密地结合起来。

行业这8周的变化挺快的，特别是零日漏洞的利用方式，感觉每天都在变。8月10号跟团队讨论的时候，有人提到一个新的侧信道攻击方法，当时听得云里雾里，回去翻了好几篇论文才大概明白。这让我意识到，安全这行必须保持终身学习，否则很快会被淘汰。展望未来，打算把实习中用的那些工具，比如OWASPZAP、Nessus，都吃透，争取再动手搭建几个复杂点的靶场练练手。心态上最大的转变，就是从学生时代“学知识”到职场“扛事儿”的感觉，8月25号那个晚上，为了赶一个报告，一个人在会议室改了快4个小时，虽然累，但挺有成就感。这种责任感，这种面对压力不退缩的劲头，是学校里学不到的，也是未来工作最需要的。

四、致谢

在计算机科学软件园的这8周实习，挺感谢带我的师傅，给我机会跟着实际项目走，特别是8月那阵子教我分析网络流量的细节，对我帮助特别大。组里的同事也挺好，碰到问题大家会直接说，比如8月15号那个靶场环境搭不好，问了下才知道是我对D