计算机科学专业网络安全公司实习实习报告

计算机科学专业网络安全公司实习实习报告一、摘要2023年7月10日至2023年9月5日，我在一家网络安全公司担任网络安全分析师实习生。核心工作成果包括协助团队完成15个网络漏洞扫描项目，累计发现并报告23个高危漏洞，其中5个被列为关键风险并纳入修复清单。参与编写了3份安全评估报告，涉及约200台服务器和80个应用系统的安全配置检查。应用了OSSEC、Wireshark和Nessus等工具进行日志分析、流量监控和漏洞检测，熟练掌握漏洞生命周期管理流程。提炼出可复用的自动化脚本方法，通过Python结合正则表达式，将常规漏洞信息提取效率提升40%，并建立标准化漏洞分级模板，减少后续分析时间20%。二、实习内容及过程1.实习目的想通过实习了解真实网络安全工作场景，把学校学的加密算法、网络协议这些玩意儿跟实际攻防结合，看看怎么用这些知识解决实际问题。主要目标是熟悉漏洞挖掘流程，学会用安全工具，体验下安全团队怎么协作处理事件。2.实习单位简介我实习那家公司是做云安全服务的，客户主要是中小型企业，提供漏洞扫描、渗透测试和应急响应服务。技术栈挺全，有自研的SAST工具，也用主流的Nessus、BurpSuite这些。团队分成几个小组，我跟着渗透测试组，每天就是跟漏洞打交道。3.实习内容与过程第12周主要是熟悉环境，公司给安排了基础培训，学了他们用的漏洞管理平台怎么操作，还看了些内部写的关于SQL注入、XSS的案例分析。跟着师傅摸了3个客户的旧系统，用Burp抓包，发现2个GET参数没过滤，直接构造payload就能跑命令。师傅说这类老系统特别多，得练好手工测试这活儿。第35周开始独立负责项目，接了5个电商平台的扫描任务。其中一个项目印象深，客户说他们的支付接口总被报高危，我拿Wireshark抓了2天数据包，发现是SSL证书过期导致的重放攻击风险。用OWASPZAP抓了接口，发现API密钥在请求头里明文传，改完还顺带测了下JWT令牌，用JWT.io查了下签名算法，写了个Python脚本暴力破解过期token，最后给客户做了个整改方案，他们那边居然采纳了。后期参与了1次应急响应，客户被DDoS攻击，流量从正常几百G飙到3T，跟着工程师用Cloudflare和公司自研的流量清洗系统压流。期间学了不少关于BGP黑洞、CDN缓存控制这些骚操作，还写了个监控脚本，把异常流量曲线用Grafana画出来，师傅夸说比他们以前的图直观多了。4.实习成果与收获完成了8个完整项目的漏洞挖掘，产出23份漏洞报告，其中高危占45%，客户修复率从原来的60%提升到78%。个人贡献最大的是个自动指纹识别工具，用Python+Scapy爬网站HTTP头和TLS特征，准确率85%，帮团队省了至少5个人工时间。最大的收获是搞懂了漏洞从发现到修复的全流程，以前只知原理，现在知道怎么跟客户沟通风险等级，比如用CVSS3.1打分，把"影响范围"翻译成他们能理解的"哪些用户会受影响"。5.问题与建议遇到的第一个困难是工具链不兼容，公司用的SIEM系统跟内部日志格式对不上，导致告警误报率居高不下。我花了2周用Python写了个数据清洗脚本，把日志转成统一JSON格式，最后跟运维那边约好每天凌晨同步，问题才解决。第二个是培训太赶，第2周就被丢到项目里，连公司代码库权限都没给，差点把测试环境搞崩。建议公司给新人加个周中案例分享会，不用太深，就讲讲像DNS投毒这类常见场景怎么分析。另外岗位匹配度上，我期望能多接触红队工具链，但实际工作更偏蓝队分析，可能需要提前跟HR明确技术侧重点。三、总结与体会1.实习价值闭环这8周就像把书上的加密算法、网络协议这些抽象概念，真刀真枪地用到了实际场景里。7月10号刚去时，对着客户的扫描报告还懵懵懂懂，觉得漏洞评分就是数字，8月15号负责第一个完整项目时才懂，CVSS3.1的"攻击向量"得结合客户业务场景翻译成"哪些用户会受影响"，"攻击复杂度"要对应他们现有安全工具的能力。最后9月5号离开时，能独立用Python脚本把一周的漏洞数据整理成可视化报表，师傅说比他们以前手写的效率高。这种从理论到实践、再反哺理论理解的闭环，比单纯上课听讲收获大多了。2.职业规划联结实习前想当渗透工程师，现在更倾向做安全运营。8月20号参与应急响应那会儿，看着运维同学用Zabbix盯着带宽曲线，突然觉得比直接写Exploit更有意思同样是跟攻击对抗，但前者是事前防御，后者偏事后补救。不过这次也认清了自己的短板，比如在DDoS那场事件里，对BGP路径选择的理解还停留在文档层面，最后靠查厂商博客才明白流量怎么绕开的。现在计划下学期补BGP基础，顺便考个CISSP，把公司用的SIEM系统（那玩意儿挺复杂，跟Splunk操作逻辑差好多）再啃一遍。3.行业趋势展望在公司看到不少新技术在用，比如有个客户用WAF结合RLS（基于角色的访问控制）做API保护，9月初刚上线时出过配置错误，导致管理员API接口被拦截。师傅给我看日志时说，这类零日漏洞现在靠动态分析比静态查得快，他们新招的师傅都会用CuckooSandbox跑沙箱环境。这让我意识到，以后做安全不能只懂理论，得跟上零日漏洞挖掘的节奏，像动态调试、内存分析这些技能得赶紧补上。另外8月份看猎聘上猎头发的JD，发现现在企业招安全人特别看重云安全经验，我实习期间接触的AWS安全组策略配置还不多，看来下阶段得重点搞AWS/Azure认证了。4.心态转变以前觉得写代码就是Debug，现在明白安全这行，很多问题不是逻辑写错，而是需求没搞懂。比如8月12号改客户支付接口那会儿，技术方案没问题，但最后没跟业务方确认密钥有效期，导致上线后老报证书异常。被客户催了3次才反应过来，最后用邮件列了10条交接清单才搞定。现在写东西会下意识考虑"用户会不会看不懂"，这种责任感比学校写作业强太多了。最直观的是抗压能力，刚来时连续加班到晚上11点就烦，现在9月1号处理完那个DDoS事件后，发现凌晨3点还能冷静分析日志，可能这就是所谓的"职场人"吧。四、致谢1.感谢公司给我实习