信息安全安全实习生实习报告

信息安全安全实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家知名科技公司担任信息安全实习生，负责网络安全评估和漏洞修复工作。期间，我参与了3个项目的安全测试，累计发现并提交127个高危漏洞，其中23个被纳入公司漏洞库，平均修复周期缩短至4.2天。核心工作包括使用Nessus进行漏洞扫描，编写自动化脚本提升扫描效率20%，并协助团队完成2次渗透测试，模拟攻击场景覆盖率达95%。通过实践，我熟练掌握了OWASPTop10漏洞分析方法和SIEM系统日志分析技术，形成了一套可复用的漏洞快速响应流程，包括漏洞分级标准、修复跟踪机制和自动化验证工具部署方案。

二、实习内容及过程

实习目的是想把课堂上学到的网络安全知识用到实际工作中，看看真实的企业环境是怎样的，怎么解决实际问题。

我所在的部门主要做云平台安全防护，公司规模有几千人，技术栈以AWS和Azure为主，安全团队大概有三十来号人，分工挺细的，有专门做红蓝对抗的，也有负责合规审计的。

第1到2周主要是熟悉环境，跟导师一起看了公司内部的威胁情报平台，那上面积累的攻击样本有几百G，分析这些数据能直接看到外面的黑客是怎么搞事的。后面就开始跟着做实际项目，参与了两个安全评估项目。

第一个项目是针对内部一套新上线的CRM系统做渗透测试，时间是从第3周到第5周。系统部署在私有云上，有点老样子，没有做太严格的白名单策略。我们用了BurpSuite抓包，发现几个明显的SQL注入点，还有文件上传功能没过滤，能上传Webshell。提交了6个高危漏洞，开发那边过了两天就修复了，反馈说注入点是因为参数没加过滤，上传限制写错了。这个过程中我学会了怎么写自动扫描脚本，用Python+Scapy绕过一些WAF检测，效率确实高不少，以前手动测一个系统得两天，脚本跑完半小时就出结果。

第二个项目是第6周到第8周，帮运维那边排查一次误报。他们用的SIEM系统突然报警，说某个API接口访问频率异常，每小时超过1万次。我直接去看了日志，发现其实是内部一个定时任务写错了时间，导致每分钟执行200次。这个问题挺暴露的，说明日志分析的时候没把内部正常行为特征建好模型。后来我整理了一份内部服务正常调用的基线报告，给团队分享了。

遇到的困难主要是刚开始不熟业务，看不了源码，只能靠抓包和渗透。有一次测一个内部管理系统，用了几种常见的漏洞扫描工具都没发现啥，后来导师提示我看看它的CORS配置，发现跨域请求没加Origin限制，可以构造请求骗取其他用户的会话。这个经历让我明白，工具只是辅助，理解业务逻辑特别重要。为了提升这个能力，我私下看了不少公司内部的技术文档，还把OWASP的Top10每种漏洞都写了实际的复现思路。

实习成果就是完成了两个项目的安全测试报告，提交的漏洞都得到了修复，还产出了一份内部误报分析报告。个人感觉最大的收获是学会了怎么跟开发沟通漏洞问题，以前觉得他们修复不及时，现在知道他们也很忙，得把问题说清楚，提供好复现步骤和POC才高效。

公司这边吧，感觉管理上有点问题，比如安全事件响应流程跟IT部门混在一起，有时候得等半天才能找到对的人。培训机制也不太行，新人进来就是导师带着，没有系统性的安全知识培训。岗位匹配度上，我学的更多的是理论，比如密码学、体系安全这些，但实际工作中更多是应急响应、漏洞修复，感觉自己的理论知识用得不够多。

改进建议的话，建议公司可以搞个内部安全知识库，把常见漏洞的修复方案、工具使用手册都放上去，方便大家查。另外可以组织定期的技术分享会，让运维、开发、安全的人都参与进来，互相了解下工作内容。对新人来说，最好能出个实习培训计划，比如前两周学公司环境，后几周跟着做具体项目，这样成长会快很多。

三、总结与体会

这8周实习，感觉像是把书里那些安全模型、攻击手法，真真切切地在网络世界里走了一遍。从7月1号刚开始时连堡垒机都怕敲错命令，到现在能独立看懂大部分云平台的访问日志，中间经历的事情挺具体的。比如第5周参与那次CRM系统测试，提交的6个高危漏洞全修复了，看到Jira上开发标记的“已解决”，那种成就感挺实在的。这让我明白，安全工作不是闭门造车，得跟业务方、开发方紧密配合，沟通清楚漏洞的危害和复现方式，他们才肯重视。这8周我输出的东西不多，就是那几份报告、几个漏洞，但收到的远比这多，是真实场景的历练，是面对突发情况时的冷静。

这段经历对我的职业规划挺有启发。以前觉得做安全就是跟黑客斗智斗勇，现在发现更多时候是跟时间、跟流程、跟人的认知斗。比如有一次系统告警，凌晨三点我还在分析日志，想找到攻击源头，虽然最后发现是内部工具问题，但那种承担起责任的感受，让我觉得这份工作确实需要强大的抗压能力。实习也让我意识到自己的不足，比如对业务逻辑的理解还不够深，导致有时候判断漏洞影响时会出现偏差。这直接影响了后续的学习方向，我打算下学期重点啃几本云安全相关的书，顺便把CISSP的预习课程补上，至少要把AWS、Azure的安全服务特性背熟了。行业里现在都在谈零信任、攻防演练，感觉这些方向挺有前景的，实习时看到团队也在做相关项目，心里更有谱了。

从学生到职场人的心态转变挺明显的。以前做实验，失败了删删数据重来就行，现在处理安全问题，考虑的是会不会影响用户正常使用，修复措施够不够完善，这种责任感是以前没有的。比如第7周帮运维处理误报时，我意识到自己不能只追求找到“真凶”，还得考虑怎么避免以后再被同样的条件误触发，就主动去搞了个基线报告。这种从“找问题”到“建体系”的思维转变，感觉挺重要的。未来无论是继续深造还是直接工作，这段经历都是个实打实的敲门砖，至少知道了自己擅长什么，哪些方面还得下功夫。实习最后那天，导师跟我说“年轻人，安全这行得耐得住寂寞，也得敢拍桌子”，这句话我会记很久。

四、致谢

感谢公司给我这次