计算机科学与技术互联网安全公司网络安全实习报告

计算机科学与技术互联网安全公司网络安全实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家互联网安全公司担任网络安全实习生。在为期8周的实习中，我主要负责协助团队进行渗透测试和漏洞扫描，累计完成20个Web应用的安全评估，发现并提交了35个高危漏洞，其中12个被公司采用并修复。期间，我运用OWASPZAP和Nessus等工具进行自动化扫描，并使用Python编写了3个定制化扫描脚本，将常规测试效率提升了30%。通过实践，我熟练掌握了漏洞分析流程，提炼出“分层扫描精准验证复现报告”的漏洞处理方法论，该方法可应用于同类安全评估工作。

二、实习内容及过程

2023年7月1日到8月31日，我在一家做网络安全的产品公司实习。主要是跟着师傅们搞渗透测试，帮着他们找Web应用漏洞。第一个月我上手挺慢的，因为我对靶场的实战环境不熟，扫描出来一堆falsepositive，师傅教我用OWASPZAP插件做深度包分析，把流量抓下来对着HTTP请求线逐条看，慢慢就懂了。7月15号开始独立负责一个电商平台的测试，用BurpSuite改了代理，发现了一个SQL注入，通过盲注试出了数据库版本是MySQL5.7，最后用union查询搞定了后台地址，提交上去没过一周就修复了。8月份我尝试写个自动化脚本，用Python爬取页面然后批量检测目录遍历，跑了一下午报错不断，后来发现是requests库没设置timeout导致的，改了参数就好了。这8周里，我跟着团队把20个应用测完了，交上去的漏洞有35个，高危占了一半多。最大的收获是学会了漏洞从发现到报告的全流程，原来写报告不能光写“存在XX漏洞”，得写清楚攻击链、影响范围，还有修复建议，师傅们给我改了3版才过关。遇到的最大坎是时间管理，有时候一个项目测试拖得特别长，后来我弄了个甘特图列任务清单，每天下班前看进度，稍微好点了。但公司培训确实一般，都是师傅带一带，没系统课，这点挺遗憾的。要是能多搞点CTF比赛复盘或者靶场专项培训就好了。这经历让我觉得，安全这行光会工具没用，得懂原理，还得会沟通，毕竟最后得写报告跟开发扯皮呢。

三、总结与体会

这8周实习，从7月1号到8月31号，感觉像是把书里那些安全概念给具象化了。一开始对着真实的线上环境，手心都冒汗，扫描报告一堆误报，师傅教我结合HTTP头信息、响应时间来做初步筛选，还给我看了他们之前修复的一个XSS案例，当时觉得“哇，原来漏洞能造成这么大的影响”。后来独立负责那个电商项目，花了差不多两周时间，用OWASPZAP和BurpSuite把前后端都摸了个遍，最后提交了12个高危漏洞，其中那个SQL注入，从发现到提交修复，前后不到5天，那一刻挺有成就感的。这让我明白，安全工作不是悬在空中的，得跟业务结合，得有紧迫感。

实习最大的价值，就是让我看到了理论怎么落地。在学校做实验，环境是隔离的，需求是老师的，但这次不一样，我提交的每个漏洞都可能被开发那边排期修复，写报告的时候得考虑怎么让他们容易理解、容易修复，这就得站在对方角度想问题。比如那个目录遍历，我光说“访问/xxx/.hiddenfile”不行，得加上“建议删除该文件或设置目录权限”，最后才被采纳。这种沟通和思考的过程，是学校教不到的。

对我职业规划来说，这次经历确认了我对渗透测试的兴趣，但我也看到自己的短板。比如对云安全、工控安全这些新领域了解太少了。学校课程里网络安全偏理论，这次实习暴露了这个问题。接下来打算系统学学云原生安全的知识，看看能不能考个CISSP或者CEH证书，把知识体系补全。行业里好像现在挺重视自动化测试的，我也在琢磨要不要学学Python脚本，把效率提起来。

整个实习下来，最大的变化是心态。以前觉得学安全就是会点工具，现在明白，真正要做安全，得有责任心，得能抗压。比如有一次半夜收到告警，跟着师傅排查到凌晨两点，最后发现是个误报，虽然折腾，但感觉挺值的。以后不管是学习还是工作，都会记得这次实习给我的提醒：安全这行，学无止境，得时刻保持警惕。

四、致谢

感谢这次实习机会，让我学到了很多。谢谢导师悉心指导，带我