计算机科学与技术网安公司网络安全工程师实习报告

计算机科学与技术网安公司网络安全工程师实习报告一、摘要2023年7月10日至2023年9月5日，我在网安公司担任网络安全工程师实习生，负责协助完成网络渗透测试、安全漏洞修复及日志分析工作。期间，累计完成23个系统的渗透测试，发现并提交高危漏洞12个，其中3个被纳入公司漏洞库，推动完成高危漏洞修复率92%；通过使用Wireshark分析网络流量，定位并解决3起内部网络异常连接问题，形成《网络安全事件分析报告》5份；熟练应用Nmap、Metasploit等工具进行安全评估，将漏洞扫描效率提升40%，总结出可复用的漏洞评估方法论，涵盖资产识别、风险量化及修复优先级排序流程。二、实习内容及过程2023年7月10日到9月5日，我在网安公司实习，岗位是网络安全工程师助理。刚去那会儿，主要是熟悉公司用的安全工具，像Nessus、BurpSuite这些，跟着师傅学习怎么用。师傅给我分配了几个小任务，比如帮着整理上周提交的漏洞报告，那些报告有30多页，里面记录了50多个漏洞，我花了两周时间才弄明白怎么分类标记。8月15号开始，我独立负责测试部门的3个内网系统，用Nmap扫资产，用Metasploit试漏洞。其中一个系统，扫出来400多个端口，我筛选出20个高危端口，发现2个SQL注入点，一个是中等危，另一个是高危，高危那个返弹shell，我花了三天时间写POC，最后师傅帮着调整了下才完美。期间遇到个难搞的跨域请求伪造问题，系统是Java写的，一开始没反应过来，后来查到是CORS配置不对，花了五天时间才弄好，感觉自己学到了不少。9月的时候，开始参与他们的渗透测试项目，跟着师傅跑了一个电商平台的测试，那项目挺复杂的，前后花了两周时间，我负责的是后端接口，找到7个漏洞，两个是XSS，三个是权限绕过，还有一个是文件上传漏洞，最后修复率是90%左右。实习期间，公司没怎么搞培训，都是师傅带着，有时候觉得挺慢的，但确实学到东西。最大的收获是明白了漏洞挖掘不是随便试几个命令就行，得有思路，得懂业务逻辑，不然就是大海捞针。这段经历让我更想往渗透方向发展，但感觉自己的脚本能力还差得远，得继续补。公司管理上，有时候任务分配不太清晰，个人觉得可以搞个内部任务看板，这样大家都明白自己干啥，效率能高点。另外，建议多搞点技术分享会，现在学东西就是碎片化，集中讲讲最新攻防技术，大家都能进步。三、总结与体会这8周，从2023年7月10号到9月5号，在网安公司的经历，感觉跟在学校完全不一样。以前学东西，觉得会用工具就行，去了之后才发现，光会命令没用，得懂业务，得知道漏洞怎么利用，怎么造成实际影响。比如我负责的那个电商系统测试，光是扫端口没意义，得看那些端口具体服务什么，跟什么业务关联，才能找到突破口。那7个漏洞，包括两个XSS，三个权限绕过，还有一个文件上传，每个都得结合场景分析，这让我明白，网络安全不是技术活，也是脑力活。实习最大的价值，就是让我把学校学的那些理论知识，跟实际工作联系起来。以前觉得HTTP请求、SQL语句就是那么回事，现在明白，这些基础的东西，是分析漏洞、写POC的基石。这段时间，感觉自己的抗压能力强了不少，以前遇到难题，容易慌，现在能静下心来，一步步分析，比如那个跨域请求伪造问题，花了五天时间才弄明白，虽然过程挺熬人的，但解决问题后的成就感，值了。这让我意识到，责任感这东西，不是说出来的，是干出来的。从学生到职场人的转变，就是得多干活，多思考，不能光想。未来打算深化脚本能力，尤其是Python，感觉现在各种自动化工具，没脚本根本玩不转，已经报名了个在线课程，打算年底前把OWASPTop10都搞明白，顺便准备个CISSP证书，感觉这对后续发展有帮助。行业这东西，变化太快，每天新东西都不少，攻防对抗就是个没有尽头的游戏，得不断学习，才能不被淘汰。这段经历，让我更坚定了在网络安全这条路走下去的决心，虽然现在还是个学生，但感觉未来有了方向，挺踏实的。四、致谢在网安公司这8周的实习，真的挺感谢那帮带我的师傅和同事，没白费我跟着他们跑项目的时间，特别是那个负责后端测试的师傅，给我讲了不少电商系统里容易踩坑的地方，那些实践中的经验，比学校里干巴巴的理论有用多了