网络安全技术安全实习报告

网络安全技术安全实习报告一、摘要

2023年7月1日至2023年8月31日，我在XX公司网络安全技术部门担任实习生，负责协助完成网络渗透测试和漏洞修复工作。核心工作成果包括完成15个企业级系统的漏洞扫描，识别并修复高危漏洞28个，其中通过应用OWASPTop10标准成功拦截SQL注入攻击7次。在实习期间，我运用了KaliLinux、Nmap和Metasploit等工具进行安全评估，结合Nessus平台实现自动化漏洞检测，将常规检测效率提升30%。提炼出的可复用方法论包括建立动态扫描脚本库，通过Python编写自动化脚本减少重复性工作，并将漏洞修复流程标准化，形成包含预检、执行、验证三阶段的操作手册。

二、实习内容及过程

1.实习目的

想通过实践了解网络安全攻防的实际操作，把学校学的理论用起来，看看自己到底喜欢哪块，顺便积累点项目经验。

2.实习单位简介

我在的部门主要做企业客户的网络安全服务，服务范围包括渗透测试、应急响应和系统加固，客户大多是中小企业，也有几个大厂。

3.实习内容与过程

前两周主要是熟悉环境，跟着师傅摸设备，学怎么用各种扫描工具。7月10号开始接手第一个项目，是帮一家电商做系统安全评估。客户要求扫描10个网站，重点看支付流程和用户数据库接口。我用了Nessus和BurpSuite轮番上阵，每天早上先跑Nessus全量扫描，下午用Burp抓包分析流量。7月15号发现一个挺麻烦的问题，客户网站用的ThinkPHP框架，版本有点老，存在一个命令注入漏洞，但攻击入口被隐藏在某个第三方插件里，挺绕的。当时头有点大，下班后在实验室对着虚拟机捣鼓了两天，查了官方文档，最后用Python写了个脚本，把插件加载的文件路径都给暴力试了一遍，7月17号找到入口点，给客户改了参数过滤。

后面又参与了两个项目，一个是帮一家金融机构做无线网络渗透，发现他们WPA2加密的密码强度太低，直接暴力破解花了不到一小时；另一个是内网渗透，目标是一个文档服务器，他们居然没开防火墙，直接扫到了。这些项目让我把OWASPTop10的漏洞都实践了一遍，还学会了怎么写自动化脚本，比如用Metasploit的模块定制化攻击载荷，效率确实高不少。

4.实习成果与收获

8周里总共完成了4个项目，扫描系统15套，提交漏洞报告3份，修复率85%，客户还挺满意。最大的收获是学会了怎么从零开始做安全评估，从一开始的只会点鼠标，到现在能自己写脚本搭环境，感觉成长挺快的。师傅常说“安全是个实践活儿，光看书没用”，确实是这样，比如那个命令注入，光看教材根本学不会，必须真动手试过才知道难点在哪。

5.问题与建议

实习过程中也碰到点问题，比如公司给新人的培训有点少，我第一次接触应急响应项目时手忙脚乱，只能靠师傅手把手教。另外，部门流程有时候不太清晰，比如漏洞定级标准没明说，有时候看师傅判断，有时候自己判断容易出错。建议公司可以搞个新人手册，把常见问题都写清楚，还有定期组织内部培训，比如每月搞一次技术分享会，大家多交流。我自己的想法是，如果可能的话，希望以后能接触更多应急响应的活儿，感觉那块更有挑战性。

三、总结与体会

1.实习价值闭环

这8周实习感觉挺完整的，从7月1号懵懵懂懂地开始，到8月31号结束，我把学校学的那些零散知识点用上了。比如7月15号搞懂那个ThinkPHP命令注入，当时真觉得难，后来师傅教我用Python写脚本暴力破解文件路径，虽然效率不高但确实解决了问题。这让我明白，安全攻防不只是理论，真落地还得动手，还得动脑子。提交的那3份漏洞报告，客户那边修复了85%，收到确认邮件那天挺有成就感的。这8周让我把“理论联系实际”这老话给具体实践了，感觉收获特别实在。

2.职业规划联结

这次实习让我更清楚自己想干嘛了。之前觉得做安全能拿高薪就行，现在发现真的得有兴趣。师傅带我的过程中，我发现自己挺喜欢搞应急响应那块，尤其是7月25号跟着做那个金融机构无线网渗透，虽然只是个辅助角色，但感觉挺刺激。这可能就是我想长期发展的方向。接下来打算深挖这个方向，先把CISSP的备考计划提上日程，顺便把Python在安全领域的应用再学深点，争取实习结束前能写个自动化应急响应的小工具。

3.行业趋势展望

在公司待的这段时间，感觉行业变化挺快的，特别是7月底听一个前辈分享，说现在很多攻击都转向了云环境和物联网设备，像我在那个电商项目中扫到的支付流程，现在用OWASPZAP能更快发现APT攻击特征。这让我意识到，学校教的那些基础还是不够，得持续学。比如最近在看一些云原生安全的东西，像Docker逃逸、Kubernetes的CVE，感觉这些都是未来重点。行业里好像越来越重视自动化和AI了，公司里那个写脚本的老员工，效率确实比我高，这提醒我以后得往这个方向努力。

4.心态转变与未来行动

最直观的感受就是心态变了。以前做实验最多报个错重试，现在接项目得考虑成本、效率，还得跟客户沟通，比如7月18号给那个金融机构提漏洞时，得把复现步骤写清楚，不然人家不认。师傅常说“安全人得有责任心”，现在理解了，这次帮客户改完ThinkPHP漏洞后，客户那边特意发邮件感谢，那种感觉比考高分还踏实。接下来打算把这次写的Python脚本库再完善下，争取能投稿到学校的实验室，同时把师傅教我的那些内网渗透技巧整理成笔记，等下学期再系统学一遍。感觉这8周真的把“学生”和“职场人”的分界线给划清了，以后得更主动，更抗压。

四、致谢

1.

感谢在实习期间给予指导的导师，从7月1号到8月31号这段时间，您在渗透测试和漏洞分析上给我的帮助特别大，特别是7月15号那个ThinkPHP项目，要不是您点醒我用Python脚本试路径，我可能还得耗几天。还有那些同事，比如7月20号教我如何撰写漏洞报告格式的人，以及在无线网渗透项目中给我搭实验环境的小伙伴，你们分享的工具和经验都挺实用的。

2.

感谢学校的指导老师，实习前您在安全基础理论上的铺垫特别重要，7月初我刚开始实习时，您提醒我要把OWASPTop10背熟，现在看来真有用。还有学校实验室提