互联网安全公司安全测试实习报告

互联网安全公司安全测试实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家互联网安全公司担任安全测试实习生。在为期8周的实习中，我主要负责Web应用渗透测试和漏洞挖掘工作，累计完成15个项目的安全评估，发现并提交高危漏洞28个，中危漏洞42个，低危漏洞53个。通过实际操作，我熟练掌握了Nmap、BurpSuite、Metasploit等工具的使用，并将OWASPTop10风险评估模型应用于日常测试，提升了漏洞优先级判断的准确性。在导师指导下，我建立了可复用的漏洞验证脚本库，包含SQL注入、XSS攻击等10类常见漏洞的自动化检测脚本，脚本执行效率较手动测试提升40%。实习期间，我参与编写了《XX系统安全测试报告》，其中提出的3条高危漏洞修复建议被产品部门采纳，有效降低了系统安全风险。

二、实习内容及过程

2023年7月1日到8月31日，我在一家互联网安全公司做安全测试实习生。公司主要帮其他互联网产品做渗透测试和风险评估，客户涵盖电商、社交和在线教育行业。我的实习目的就是把学校学的安全知识用到实际项目里，熟悉行业安全测试的完整流程。

实习期间，我跟着导师做了15个项目。刚开始主要是学习，7月第一周到第二周，我帮导师整理之前的测试报告，熟悉OWASPTop10和常见的Web漏洞。导师给我发了他们之前的项目文档，我看了10个电商平台的渗透测试报告，重点记了SQL注入、文件上传漏洞的测试思路。7月第三周开始上手实际测试，第一个独立负责的是一个小型社交APP的测试，用了Nmap扫端口，然后用BurpSuite抓包分析，发现4个XSS和2个权限绕过问题。提交漏洞时，我按照导师教的格式写，附上复现步骤和截图，导师修改后发了上去。

8月份我独立负责了5个项目。其中8月12日测试一个在线教育平台时遇到大挑战，发现了一个中等难度的逻辑漏洞，但复现路径特别绕。平台用的是自定义的权限验证机制，我花了两天时间才完全搞懂业务逻辑，最后用Python写了脚本自动化验证，提交了23个会话固定和越权问题。这个经历让我意识到，懂业务比会工具更重要。测试过程中，我还参与了内部技术分享会，学到了一些关于内网渗透和蜜罐技术的知识，感觉打开了新世界的大门。

实习中最大的收获是掌握了完整的测试流程，从需求分析到漏洞挖掘，再到报告编写。我写的漏洞验证脚本被团队收编成了模板，后来几个同事还找我请教脚本问题。但实习也有不足，比如公司培训比较松散，都是导师带一带，没有系统性的课程。有时候项目时间紧，测试深度就不够，比如8月30日测试一个金融类APP时，因为要赶进度，没时间深挖一个疑似命令注入的点。我觉得公司可以搞些定期培训，或者搞个知识库共享，这样新来的实习生也能快速上手。另外，有些项目需求不明确，需要反复沟通，效率有点低。如果能提前有标准的需求模板，沟通成本能降不少。这段经历让我更想往漏洞挖掘方向发展，虽然过程挺累，但每次发现新漏洞都有成就感。以后得继续补内网和移动端安全知识，争取下次实习能负责更复杂的项目。

三、总结与体会

这8周实习像是在学校理论之外，硬生生给我塞进了一堂生动的实战课。从7月1日第一次接触真实项目文档时的懵懂，到8月31日能独立完成一个完整测试流程并提交报告，我确实走了很长一段路。实习最大的价值闭环，就是把我埋在书本里的OWASPTop10，变成了能实实在在从目标系统里挖出43个漏洞（高危12个，中危19个，低危12个）的能力。导师跟我说过，写漏洞报告要像给法官写判决书，得严谨。我后来写的8份报告，每份都反复修改了3遍以上，才敢发给客户，这种感觉跟学校写论文完全不一样，肩上真的有了沉甸甸的责任感。

这段经历直接让我把职业规划往前推了一步。以前觉得安全测试就是点点按钮，现在明白需要懂业务逻辑、会写脚本、还得有沟通能力。我8月15日负责的在线教育平台项目，因为发现了23个漏洞，客户那边还特意打了电话表示感谢。这让我更坚定了往漏洞挖掘方向走的决心。实习最后那周，我整理了自己的漏洞库和脚本，发现之前学的Python还能这么用，感觉手里的技能又重了几斤。接下来打算沉下心学内网渗透和红队技术，明年争取拿下CISSP证书，感觉离行业要求又近了一步。

行业里现在都喜欢自动化测试，但我发现有些公司追求效率，反而把测试深度给丢了。比如我8月30日遇到的一个金融APP项目，时间太赶，最后提交的报告中就没深挖一个疑似命令注入的点，后来我自己再试了几天，才发现如果参数组合一下，后果会很严重。这让我看到，技术发展快，但安全底线不能降。以后做任何项目，我都会提醒自己，自动化工具能提高效率，但代替不了人的思考。从学生到职场人的心态转变，大概就是从“我学会了”变成“我还能做得更好”。这段经历让我明白，安全这行，学无止境，但每挖出一个漏洞，都像在黑暗里点了一盏灯，挺有价值的。

四、致谢

感谢在实习期间给予我指导和帮助的团队。特别感谢我的实习导师，在8周时间里，耐心解答我的各种问题，分享实际项目经验，让我对安全测试的理解从书本理论走向了实践。也谢谢团队里的其他同事，在我遇到技术难题时，他们主动分享了有用的工具和资料，比如那个帮助