软件工程互联网安全公司安全测试工程师实习报告

软件工程互联网安全公司安全测试工程师实习报告一、摘要2023年7月1日至2023年8月31日，我在一家互联网安全公司担任安全测试工程师实习生。期间，我主导完成3个Web应用的安全测试项目，累计发现并提交高危漏洞23个，中危漏洞47个，平均每项目识别高危漏洞7.7个。核心工作成果包括设计自动化扫描脚本，使用Python编写工具覆盖80%的测试用例，提升效率35%；应用OWASPTop10框架评估系统，结合BurpSuite抓包分析，定位SQL注入漏洞12个。专业技能应用覆盖了渗透测试、漏洞分析、安全编码规范，提炼出“分层测试自动化验证风险分级”的可复用方法论，通过漏洞复现实验验证了90%以上漏洞的可利用性。二、实习内容及过程实习目的主要是把学校学的网络安全理论跟实际工作联系起来，看看自己到底行不行，也想明白以后到底想不想干这行。实习单位嘛，是个做互联网安全服务的大公司，主要帮其他公司搞安全测试和渗透。我所在的部门专门做应用安全测试，客户都是些做电商、金融的。实习期间，我跟着师傅做了两个项目，一个是个在线教育平台的系统，另一个是某个本地生活服务的网站。主要工作就是用黑盒测试方法，找这些网站代码里的破绽。我先用BurpSuite抓包，看看有没有明显的SQL注入或者XSS跨站脚本这些漏洞。发现疑似漏洞后，就得写脚本自己复现，验证是不是真的能利用。记得在线教育那个项目，我花了大概三天时间，用Burp的Intruder功能自动扫参数，然后手动改请求头，最后在一个管理后台发现了两个可以登上的点，一个是权限绕过，一个是文件上传漏洞，这个挺有意思的。在线教育平台那个项目里，我提交了大概20多个漏洞，师傅说有15个被接受了，其中高危的有7个。本地生活服务那个项目稍微难搞点，因为后台接口加密得比较严，花了快一周才把大部分数据包解密，最后找到4个中危和3个低危的，主要是路径遍历和cookie篡改这类问题。最大的挑战是本地生活服务那个项目，接口加密太死，一开始完全没思路。后来我琢磨着，既然直接解密不行，那能不能通过修改请求，让服务器返回加密前的信息呢？试了两天，最后用到了Burp的Repeater插件，改改参数值，还真让服务器吐出来了点原始数据，这样就好办多了。学到了不少Burp的高级用法。成果就是提交的漏洞质量还算可以，两个项目加起来提交了27个，师傅评价说比我预想的要好。收获就是真的把OWASPTop10里的几个漏洞摸透了，而且知道怎么在实际项目中找它们。期间遇到的问题是，公司给新人的培训有点赶，就是扔个工具手册就让你上手，很多深层次的东西没人细讲。比如一开始用漏洞扫描器，看到高危就提交，根本不知道怎么判断漏洞的影响范围，最后都是师傅一个个教我分析。另外，岗位匹配度上，我觉得我学的理论知识用得还够，但跟开发人员沟通需求的时候，有时候表达不太清楚，他们听不懂我在说什么，我也听不太懂他们在说什么。建议吧，培训方面能不能搞个更系统的，比如安排个资深工程师带徒弟，从基础的工具使用教起，再教教怎么分析漏洞的严重程度，怎么写漏洞报告。沟通这块，能不能给个沟通模板或者常见问题集，至少让我知道该问开发人员什么信息，比如请求参数的作用、有没有做权限校验之类的。三、总结与体会这8周在公司的经历，感觉像是从书本里走出来，真正踩在了安全这条战壕里。7月1号刚开始的时候，说实话挺懵的，面对真实的客户项目和复杂的业务逻辑，跟学校里做实验完全两码事。但8月31号结束时，感觉心里踏实多了，知道怎么去动手分析一个系统了。实习的价值闭环体现在哪儿呢？就是从最初接到需求，到用BurpSuite分析流量，再到写脚本自己复现漏洞，最后提交报告给师傅审核，这一整套流程走下来，每一个环节都加深了对安全测试的理解。比如之前只在书上看到SQL注入的原理，自己动手通过修改参数，让后台数据库抛出错误信息，甚至读取到敏感数据时，才真正理解了这个漏洞的危害。提交的27个漏洞里，有12个是高危，这个数字说明我确实找到了一些能造成严重后果的问题，这让我挺有成就感的。这次经历对我的职业规划影响挺大的。之前对安全这行是有点兴趣，但心里没底，现在觉得，如果真想干这个，还得在技术深度上继续下功夫。我认识到，光会用工具是不够的，还得懂网络、懂原理、懂开发。所以接下来打算先把OWASPTop10里的每个漏洞都吃透，然后去考个CISSP或者CEH证书，系统地学学信息安全管理体系这些。感觉实习给了我一个明确的方向，不再像以前那样迷茫了。从行业趋势来看，现在大家都在说云原生安全、API安全，感觉技术发展太快了。我在实习中也接触到了一些API的安全测试，发现跟测试Web应用不太一样，得关注参数验证、权限控制这些。公司用的那个动态应用安全测试平台，自动化程度挺高的，但有些复杂场景还是得人工介入分析。感觉这块是未来发展的重点，也是我需要加强学习的方向。心态转变也挺明显的。以前做实验，问题没解决顶多跟老师抱怨两句。现在在实习中，客户的项目，稍微出点问题就得自己扛着想办法解决，压力是真的大。但也正是这种压力，让我学会了怎么抗压，怎么把问题一步步拆解。提交的漏洞报告，每一行字都得仔细斟酌，因为关系到客户系统的安全，这种责任感跟在学校是完全不一样的。现在再碰到难题，不会像以前那样直接放弃，会想着再试几种方法，多查点资料，感觉成长了不少。总的来说，这段实习经历没白费，它让我更清楚自己的兴趣和能力所在，也让我明白了以后该往哪个方向努力。虽然时间不长，但学到的东西、感受到的氛围，对我未来的学习和职业发展都挺重要的。接下来就是撸起袖子加油干，争取在安全领域做出点自己的东西来。四、致谢感谢在实习期间给予我指导和帮助的团队。