计算机科学与技术网络安全安全工程师实习报告

计算机科学与技术网络安全安全工程师实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家科技公司担任网络安全工程师实习生，负责协助团队完成内部网络渗透测试和漏洞修复工作。通过8周实践，我累计完成30个系统模块的安全评估，发现并提交高危漏洞12个，其中5个被纳入公司年度漏洞库。核心工作包括使用Nmap进行端口扫描（日均处理网络资产200+IP），利用Metasploit搭建5个模拟攻击环境验证防御策略有效性，并参与编写自动化扫描脚本（Python，减少日常检测时间30%）。专业技能方面，将课堂学习的TCP/IP协议栈知识应用于分析异常流量包（捕获数据包5000+条），结合Wireshark解析加密传输协议漏洞。提炼出基于OWASPTop10的漏洞分类排查法，该方法将团队平均响应时间缩短至24小时内。

二、实习内容及过程

2023年7月1日入职后，开始熟悉公司内部网络架构和防御体系。部门同事带我用了两周时间，了解现有的防火墙策略和SIEM系统（安全信息和事件管理）。我的任务主要是协助团队做渗透测试，重点是应用层漏洞挖掘。第一个月，我跟着师傅测试了3个遗留系统的API接口，用BurpSuite抓包分析请求参数，发现2个SQL注入点（中等危级）和1个跨站脚本（XSS，高危）。师傅说这类老系统常见的是逻辑漏洞，得结合业务场景去想。

第二阶段开始独立负责测试新部署的云服务环境。7月20号左右，我被分配到一套基于ECS搭建的微服务架构，环境里用了Nginx和Redis。测试中踩坑了次，Redis未授权访问直接暴露了。当时完全懵，查了公司文档才搞明白是配置文件权限问题。花了3天时间，把所有中间件的安全基线都重新核对了一遍，用CobaltStrike做了个域渗透实验，模拟攻击路径。最后整理出检查清单，包含密码复杂度要求、服务版本升级等10条项。

实际操作中遇到过性能瓶颈。8月5号测试某支付模块时，用JMeter模拟500并发请求，发现Web应用防火墙（WAF）开始误拦截正常业务流量。跟运维沟通后，把WAF的CC攻击策略阈值从5秒调到15秒，问题解决。这个经历让我明白，安全策略不能一刀切，得懂业务。

最后一周参与应急响应演练。8月25日模拟钓鱼邮件攻击，我负责分析捕获的恶意样本。样本是个压缩包，里面嵌了Office宏病毒。用PowerShell解压，再用CuckooSandbox动态分析，花了6小时才找到反射型shellcode的执行路径。原来攻击者用了自制的解密脚本，绕过了杀软特征库。

整个实习期间，我整理了20份漏洞报告，其中5个被技术部采纳修改了代码。最大的成就是帮运维团队优化了日志分析规则，把误报率从30%降到8%。不过也暴露出问题，比如公司部分测试环境跟生产差异太大，导致我发现的几个问题实际环境中无效。另外培训体系比较松散，没人系统教过如何写专业的安全建议书。

我觉得收获最大的还是思维转变。以前学漏洞原理容易纸上谈兵，现在知道怎么结合成本做风险分级。比如8月10号测试电商系统时，发现一个SSRF（服务器端请求伪造）漏洞，但限于时间没去深挖，最后建议运维先做访问控制加固，而不是硬要复现。这种权衡能力是学校里没机会锻炼的。

三、总结与体会

这8周，从7月1号第一次接触公司实际的防火墙日志开始，到8月31号最后整理应急响应演练的复盘报告结束，感觉就像经历了一场真实的安全攻防。最初面对复杂的生产网络，说实话挺慌的，特别是7月15号第一次独立看漏洞扫描报告时，几百条告警看得我眼都花了。后来慢慢学会用资产管理系统（ASM）过滤，结合资产标签分类，这才把重点放在前50个高危项上。这期间写的20份报告，每份都反反复复核对了好几遍，生怕提交个伪阳性问题。师傅说这是基本职业素养，安全工程师的信誉就是一点点积累起来的。

实习最大的价值在于把课堂的理论真正落地了。比如7月28号测试那个用了OAuth2.0的API时，发现客户端凭据（clientsecret）在请求头明文传输。当时就联想到《网络安全法》里关于数据传输加密的要求，结合公司业务场景，建议采用JWT（JSONWebToken）带HMACSHA256签名的方式替换。技术部采纳后，运维同事跟我说，这种结合业务的安全建议比单纯说漏洞严重性更有说服力。

这次经历也让我更清楚自己的职业规划了。实习前想当然以为安全工程师就是整天用各种工具扫描，现在明白技术只是基础，更需要懂业务、懂成本效益。比如8月15号发现支付模块有个逻辑漏洞，虽然能导致订单重放，但实际攻击成本远高于收益，最后决定写个中危报告，重点建议增加短信验证码。这让我意识到，未来想往高级安全顾问方向发展，光会技术远远不够。下学期打算系统学习ISO27001信息安全管理体系标准，争取今年年底考个CISSP（如果时间允许的话）。

看着8月30号收到的实习鉴定里写的“具备初步的安全分析能力”，真心觉得这几个月没白费。最大的变化是心态，以前做实验只要能复现漏洞就行，现在明白每个操作都要考虑对业务的影响。8月25号那个钓鱼邮件演练，处理完恶意样本到凌晨一点，第二天还要给运维团队做培训，这种压力是学校项目完全给不了的。未来要是真干安全这行，抗压能力和责任心绝对比技术本身更关键。

行业趋势这块，感觉零信任架构（ZeroTrust）现在真不是嘴上说说。8月20号参观他们新部署的办公网络时，看到每个用户接入都需要多因素认证（MFA），还用了微隔离技术。师傅说这是为了应对远程办公带来的安全挑战，估计后边云原生安全、API安全这些会更火。虽然实习期间没机会深入研究，但回去得把K8s（容器编排平台）安全这块补上，毕竟现在很多公司都在用。

四、致谢

在此，我想感谢这段实习经历中遇到的每一个人。感谢公司给我这个机会，让我能在实际环境中学习和成长。特别感谢我的导师，从7月1号带我熟悉环境开始，到后来独立处理复杂问题，每一步都耐心指导。那些关于安全策略的讨论，还有如何平衡安全与业务的建议，都让我受益匪浅。

感谢团队里的各位同事，那些关于技术细节的探讨，还有在应急演练时互相配合的经