网络安全安全专家实习生实习报告

网络安全安全专家实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在XX公司担任网络安全专家实习生，负责协助完成内部系统漏洞扫描与修复。通过运用Nessus与BurpSuite工具，累计完成200台服务器的漏洞检测，识别高危漏洞35项，中危漏洞78项，并推动完成92%漏洞的修复。参与编写了《Web应用安全基线检查手册》，整合了OWASPTop10风险点的检测流程，将常规安全巡检效率提升20%。期间运用了渗透测试技术模拟攻击，验证了日志分析在追踪异常行为中的有效性，并整理出基于机器学习的异常流量识别规则集，为后续自动化检测提供了数据支撑。

二、实习内容及过程

1.实习目的

去，当时就是想去看看真实环境里安全工作是怎么流的，想摸摸鱼看看人家怎么用那些工具，顺便把学校学的那些东西捋一捋，看看能用到哪儿。主要是想了解下实际工作跟课本上那点区别大不大，想学点真本事。

2.实习单位简介

我在的那家公司，规模不算特别大，但业务挺杂，系统也挺老的多，感觉安全这块儿挺吃香的，至少我那组就三个安全。主要是做互联网业务的，数据什么的也挺重要，所以安全这块儿抓得还算紧。

3.实习内容与过程

我主要跟着师傅做了两件事，一是帮着扫机器，二是搞搞应急响应的小活儿。7月5号开始接触Nessus，跟着师傅把公司50来台服务器扫了一遍，发现几个高危的SSRF，还有一个是文件上传能执行命令的。弄明白原理之后，我就开始独立扫，后来又扩展到200台，速度比师傅快不少，他有时候都得等着我。8月的时候参与了个小应急，有个客户那边被挂了钓鱼站，我帮忙查了下，发现是用的某个CMS的已知漏洞，后来整理了个排查清单，现在我们组每次体检都顺带扫一下。还帮着写了份Web安全检查的文档，就是把OWASPTop10那些点挨个列出来怎么检查，师傅说挺实用的，后来他们开会还提了。期间还学了点日志分析，用Zeek抓包，看那些流量啥的，感觉挺有意思。

4.实习成果与收获

八周下来，独立扫了200多台机器，发现漏洞一百多个，高危的有二十多个，都给修复了。那个检查手册也用上了，至少有两次体检是用的我写的流程。最大的收获是觉得，安全这东西吧，真的得动手，光看理论没用，得真去试，去踩坑。还有就是学会怎么跟开发沟通了，以前我说话太直，后来师傅教我怎么说他们能懂的话，比如把SQL注入说成“查询结果被篡改了”，效果就好很多。

5.问题与建议

有一次扫系统，遇到个堡垒机，密钥认证搞了半天都没弄通，最后师傅说得用那个内部开发的工具，真是给我整不会了。还有，公司那培训吧，感觉有点水，主要是靠师傅带，要是能有个系统课或者啥的就好了。建议他们搞搞定期的小分享，比如每周五下午搞个半小时，讲讲最近看到的漏洞啥的，或者搞个内部靶场，让大家多练练手。还有就是，感觉我这岗位跟开发对接挺多的，要是能学点编程或者脚本语言就更好了，现在只会点Python基础，写个简单的脚本都费劲。

三、总结与体会

1.实习价值闭环

这八周，从7月1号到8月31号，感觉就像是从理论世界一头扎进实践海洋。刚开始挺懵的，对着那些服务器和工具真不知道从哪儿下手，尤其是第一次独立用Nessus扫那批200台服务器的时候，心里直打鼓。但师傅没少教我，我跟着把OWASPTop10的每个点都拆解了，怎么用工具查，怎么判断风险，怎么写报告。最后能独立完成扫描和出报告，把发现的35个高危漏洞都推动修复了，感觉那才叫真的学到了东西。那些数字，200台，35个高危，不是摆设，是实实在在的成果，让我觉得这八周没白费。

2.职业规划联结

这段经历让我更清楚自己想干嘛了。以前觉得安全就是搞搞漏洞，现在明白那太表面了，安全是个体系活儿，得懂业务，得跟开发、运维打成一片。我发现自己还挺喜欢跟人沟通，特别是跟开发解释漏洞为啥存在，怎么修复，效果好不好。师傅跟我说，以后做安全，沟通能力比技术有时候更重要。这让我开始琢磨，是不是得学学项目管理或者更强的表达。回去就得把Python再拾起来，多写点脚本，效率太重要了。感觉这八周让我对未来的路看得更清楚了，至少知道了自己得往哪个方向使劲。

3.行业趋势展望

在那待着，能感觉到行业变化挺快的，云安全、零信任那概念天天提。他们用的技术，像那个堡垒机，密钥认证，还有后面我接触到的Zeek分析，都挺前沿的。师傅还给我看过他们看的文章，说现在攻击者都喜欢用RCE去拿权限，然后慢慢摸信息，这种慢一点的攻击更难发现。我感觉自己学的那些基础，像网络原理、操作系统，真的太重要了，只有基础牢，才能跟上这些变化。现在看那些招聘要求，很多都写着熟悉云平台，会用容器安全那些，我这八周虽然没直接上手，但也算是开了眼，回去得赶紧把Kubernetes什么的补上。

4.心态转变与未来行动

最大的变化，还是心态吧。以前在学校，做实验成功了就挺高兴，顶多写个报告。现在在实习，知道一点小事可能影响整个系统，那种责任感完全不一样了。比如有一次我差点把某个非生产环境的配置给改了，幸亏师傅及时发现，当时吓得我手心全是汗。这让我明白，抗压能力真的得练。以后学东西，就不能像以前那样，浅尝辄止，得往深了钻。打算明年考个CISSP，先把基础证书拿下，然后针对性地学些云安全、数据安全那块儿，把Python脚本能力练强。这段经历真不是白经历的，它让我从一个学生，开始有点像职场人的感觉了。

四、致谢

1.

在那八周实习期间，真心谢谢带我的师傅，给我机会跟着他学东西，那些漏洞分析和工具使用技巧，都是他手把手教的。