软件工程网络安全公司网络安全工程师实习报告

软件工程网络安全公司网络安全工程师实习报告一、摘要2023年7月1日至2023年8月31日，我在一家软件工程网络安全公司担任网络安全工程师实习生，负责协助团队完成网络安全评估与渗透测试工作。核心工作成果包括完成10个企业级系统的漏洞扫描与修复建议，其中发现并报告高危漏洞3个，中危漏洞12个，低危漏洞45个，平均每系统识别漏洞数8.5个。通过应用OWASPZAP和Nessus等工具，累计修复8个高危漏洞，降低系统风险评分约30%。在实习中，熟练运用了漏洞利用链分析、日志审计和自动化脚本编写等技能，并将“分层防御”方法论应用于实际案例中，优化了测试流程效率约20%。这些实践加深了对网络安全纵深防御体系的理解，并掌握了可复用的漏洞管理流程。二、实习内容及过程2023年7月1日到8月31日，我在一家做网络安全服务的公司实习，岗位是网络安全工程师助理。公司主要帮企业搞安全评估和渗透测试，客户有零售、金融行业的。实习前想学点实战经验，知道漏洞挖掘和应急响应是关键点。我跟着师傅做了10个系统的安全测试，都是客户真实环境。用Nessus扫每个系统，平均找出来8个漏洞，高危的能到3个。有个电商系统，发现一个SSRF漏洞，通过内部IP直接访问数据库，我写了PoC脚本验证了。还有个系统用了过时的Spring框架，漏了个远程代码执行，直接用JavaDeserializationExploitKit搞定了。师傅教我用OWASPZAP抓包分析，我独立把3个逻辑漏洞找出来了，比如一个权限绕过，通过修改请求头骗后端当成管理员请求。实际环境跟学校模拟环境差很多，比如网络设备复杂，防火墙规则挡路。有一次测一个系统，明明知道路径遍历漏洞，但被WAF拦住，最后用BurpSuite的Repeater改了请求头才绕过去。师傅说安全攻防就是不断绕过和反绕过，得懂WAF的工作原理。后来我专门看了ModSecurity规则集，学了几招绕过技巧。8周里，我参与写了个自动化扫描脚本，用Python跑Nmap和Nessus结果，把同类型漏洞聚合起来，师傅说这样效率能提20%。还帮运维整理了50多条安全日志，用ELK堆栈分析，发现几个异常登录尝试。虽然没独立负责项目，但跟着团队搞了两次应急响应，一次是某客户系统被钓鱼攻击，我负责溯源分析；另一次是DDoS攻击，我协助调整了CDN策略，流量降了60%。困难是培训时间太短，公司给的新员工培训就3天，后面全靠师傅带。有些客户环境特别旧，技术栈都过时了，找资料费劲。还有一次被客户催结果，自己写的脚本漏了几个场景没覆盖，急得熬夜改了好久。后来我学会在GitHub上找开源项目参考，也多去看TheHackerPlaybook这类书，感觉收获大点。这次实习让我看清自己缺啥，比如逆向分析能力弱，后来在师傅指导下开始啃WindowsExploitSuggester。职业规划上，我想往渗透测试方向发展，但知道得学的东西还多，得继续补网络基础和编程课。公司管理上，我觉得新人培训可以搞个在线知识库，把常见问题都录个视频，别全靠师傅口头教。工具方面，建议给实习生配个虚拟机模板，里面预装好各种环境，省得我们天天重装系统。三、总结与体会这8周，从2023年7月到8月，在公司的经历让我彻底明白，学校学的和真刀真枪干的不一样。以前觉得网络攻防就是找漏洞点几下，去了才懂，安全是个系统工程。我们测的10个系统，漏洞报告出来后，师傅让我负责把其中一个电商系统的3个高危漏洞写修复方案，他审核。我列了环境依赖、漏洞复现步骤、风险等级，还写了怎么通过代码审计和配置调整来改。他批了我几遍，说得太笼统，得具体到哪个文件哪行代码。最后改到能指导运维直接操作，这让我懂了，安全不是黑客游戏，得让非技术人员也能搞明白。跟着团队搞应急响应时，半夜被叫起来处理DDoS，看着监控流量从正常几G飙到几百G，心里特别慌，手都在抖。但师傅在旁边指挥，教我怎么快速定位是流量清洗还是CDN问题，最后通过调整策略把峰值降到正常水平。那种感觉，就是责任。以前做实验，关了就关了，现在知道，手头的一个命令可能影响整个公司的业务。这种压力是好事，逼着你把每步都走稳。实习让我看清自己要什么。现在想做渗透测试，但发现会的东西太少了。师傅说的“姿势决定地位”，意思就是基础要牢，像TCP/IP协议栈、操作系统原理，这些在学校觉得枯燥的东西，现在天天在用。回去肯定得把Linux命令再啃一遍，学学Python脚本，打算明年考个CISSP，把安全知识体系化。实习里学的用Nessus扫图、用BurpSuite抓包分析，现在每天晚上还在练手，把公司给的测试环境（脱敏的）拿出来复刻漏洞。这种热情，是觉得这行有东西可干。看着现在APT攻击那么猛，零日漏洞被披露后几小时就有Exploit出来，觉得安全这行永远有学不完的东西。公司用的那些SASE架构、零信任理念，感觉未来趋势就是网络边界越来越模糊，安全要融入业务。这次实习最大的体会是，学校是打地基，公司是盖楼，缺一不可。地基不牢，楼盖不高，但光有地基不盖，永远只是地基。接下来打算多看些源码，理解东西底层逻辑，以后面试能跟HR说点实在的，而不只是会用几个工具。四、致谢在此期间，我在一家网络安全公司完成了实习。衷心感谢公司给予的实践机会，让我接触到真实的网络安全工作环境。特别感谢我的导师，他不仅在技术难题上给予悉心指导，比如在我遇到复杂漏洞分析时，他耐心讲解原理并分享经验，帮助