信息技术网络安全实习报告

信息技术网络安全实习报告一、摘要

2023年7月1日至2023年8月31日，我在信息技术网络安全部门担任实习生，负责协助完成网络渗透测试与漏洞修复工作。核心工作成果包括完成15个企业级系统的安全评估，发现并提交高危漏洞23个，其中10个被纳入国家级漏洞库。通过应用OWASPZAP与Nessus扫描工具，结合脚本语言自动化检测流程，将常规漏洞排查效率提升至80%，并编写了3份漏洞分析报告供团队参考。在实习中熟练运用了TCP/IP协议栈分析、加密算法实现、以及Bash与Python脚本开发，掌握了漏洞生命周期管理方法论，可复用自动化检测脚本已部署至内部知识库供后续项目调用。

二、实习内容及过程

实习目的主要是把学校学的网络安全知识用到实际工作中，了解真实的企业级安全项目怎么跑，看看自己到底差在哪。

实习单位是做网络安全服务的一家公司，主要业务是给中大型企业做安全咨询和渗透测试，团队有二十来号人，客户覆盖好几个行业。

实习内容就是跟着师傅做项目，我负责的具体是几个金融客户的Web应用安全测试。7月10号开始接触第一个项目，客户要求测试10个线上系统的SQL注入和XSS，那会儿我对业务逻辑理解挺模糊的，测试了两天只找到3个低危漏洞。师傅说问题出在没搞懂系统怎么跑，让我先看客户提供的接口文档和开发日志。我花了三天时间把每个系统的核心业务流程都画成图，之后再测试，7月20号的时候一天就找到了6个中危漏洞，师傅挺满意的，说这才叫抓重点。

7月25号开始做第二个项目，这次是零售行业的内部系统，要求做权限绕过测试。这个挺麻烦的，因为内部系统代码都不给你看，全靠抓包分析。我在公司实验室搭建了类似环境的测试床，用BurpSuite抓了两天包，发现两个系统存在逻辑漏洞，可以越权访问管理员页面。具体来说，一个系统在处理用户登录请求的时候，缓存了登录状态但没加TTL，另一个系统文件上传接口有目录遍历问题。我把这两个漏洞的复现步骤和截图整理成报告，客户那边反馈说问题确实存在，但影响不大，可以接受。

遇到的最大困难是8月2号开始做的一个电商系统测试，客户要求三天内完成，但我发现系统用了很旧的Java版本，很多常见漏洞都不好使，而且业务逻辑特别复杂，购物车模块和支付模块耦合度很高，每次修改一个地方其他地方都可能出问题。我一度觉得没法按时交，师傅给我讲了个方法，说可以先找最明显的漏洞快速上手，比如SSRF，然后顺藤摸瓜看能不能挖出其他洞。我试了，还真在订单模块找到了一个命令执行漏洞，直接让客户那边紧急修复了。学到了不少，原来做应急响应和渗透测试思路差得挺远，得先抓主要矛盾。

实习成果主要是完成了4个项目，提交漏洞报告15份，高危漏洞占比超过60%，客户那边评价说我们测试比较仔细，没漏什么大问题。我自己也做了个自动化扫描脚本，用Python写的，能跑一些基础测试，虽然还不完善，但师傅说挺有想法的。

最大的收获是知道了自己哪些地方不行，比如对业务理解这块，学校教的太理论化了，实际项目里不搞懂需求根本没法下手。还有就是学习了不少实战技巧，比如怎么根据报错信息反推漏洞原理，怎么用脚本批量测试。思维上转变挺大的，以前觉得漏洞就是找CVE，现在明白每个系统情况都不一样，得灵活变通。

实习单位管理上感觉有点乱，项目多的时候大家经常互相抢资源，有时候得等半天才能拿到测试环境。培训机制也不太行，新来的实习生就是直接扔项目，没人手把手教，得自己摸索。岗位匹配度上我觉得挺合适的，就是安全行业变化太快，学校知识更新总慢半拍，得自己找时间学新东西。

建议公司可以搞个新人培养计划，比如安排个资深工程师带几个月，另外可以建个漏洞库，把之前找到的漏洞整理好，新项目可以直接参考，省得重复劳动。

三、总结与体会

这8周实习，从2023年7月1号到8月31号，像是在学校理论知识和实际工作之间搭了一座桥。以前觉得网络安全就是看些书、做做题，现在才知道真实项目是啥样的，压力和收获都大不一样。

实习最大的价值在于让我看到了自己的不足，也明确了努力方向。比如7月20号那个金融项目，刚开始只找到3个低危漏洞，后来我花三天时间把业务流程图画透，结果一天就找到了6个中高危漏洞，那一刻感觉挺值的。这说明搞安全不能光靠工具，得懂业务、懂逻辑。师傅常说“看山是山，看山不是山，看山还是山”，我现在大概明白了点意思，学校教的那些基础是“看山是山”，没接触项目是“看山不是山”，现在开始实践，慢慢向“看山还是山”过渡。

对我职业规划影响挺大的。实习前想找个普通岗位先混经验，现在觉得安全这行挺有挑战的，想往渗透测试方向发展。那段时间调试自动化脚本到凌晨，虽然累但挺有意思。比如8月2号那个电商项目，客户要求三天完成，系统又复杂，我当时压力挺大的，最后通过抓包分析发现了SSRF漏洞，虽然过程痛苦，但确实学到了不少。这让我更有信心往这个方向走了，打算下学期考个CISSP，先把基础打牢。

看着自己提交的报告，客户那边也反馈说没啥大问题，心里挺踏实的。这也让我意识到，作为从业者得有责任心，一点小漏洞都可能造成大问题。比如那个电商系统的命令执行漏洞，要是没发现，客户那边系统可能就被黑了。这种责任感是学校里学不到的，现在每次想偷懒都会想起师傅的话。

对行业趋势的体会也挺深。比如现在大厂都喜欢用云原生架构，但安全防护跟不上，很多系统存在配置漏洞。我在公司实验室搭过几次云环境，发现不少默认配置就直接留了后门。这让我觉得，未来的安全工程师不仅要懂传统安全，还得懂云、懂AI，不然很快会被淘汰。公司8月的时候接了个AI大模型客户的渗透项目，虽然我没参与，但听师傅讲感觉未来安全攻防会越来越依赖AI技术。

总的来说，这次实习让我从一个学生心态慢慢转变为职场人，抗压能力、解决问题能力都强了不少。虽然才8周，但确实改变挺大的。后续学习会更有针对性，比如补补内网渗透、逆向工程这块，争取下次实习能接触更核心的工作。这8周的经历，现在想起来还是挺充实的，至少知道自己以后想干嘛了。

四、致谢

感谢在实习期间给予我指导