网络安全信息安全公司网络安全实习报告

网络安全信息安全公司网络安全实习报告一、摘要

2023年7月10日至2023年9月5日，我在一家网络安全公司担任网络安全实习生，主要负责协助团队完成漏洞扫描和渗透测试工作。在为期8周的实习中，我参与并完成了3个项目的安全评估，累计发现并提交高危漏洞42个，中危漏洞78个，平均修复周期缩短至5.2天。通过实践，我将《网络安全法》和《数据安全法》中的合规要求应用于实际操作，熟练运用Nmap、Metasploit、BurpSuite等工具进行安全分析，并独立编写了2份详细的漏洞报告，其中1份被客户采纳并用于后续系统加固。实习期间，我总结出“分层防御持续监控闭环管理”的安全工作方法论，该流程有效提升了团队的安全评估效率，可复用于同类项目。

二、实习内容及过程

1.实习目的

我想去真实环境中摸摸底，看看网络安全这行具体是咋回事，理论知识和实际操作有啥不一样的地方。想学点真本事，比如怎么动手查漏补缺，怎么跟团队一块儿干活，顺便感受下职场氛围。

2.实习单位简介

我在的那家网络安全公司，主要做企业级安全服务，帮客户搞漏洞挖掘、渗透测试、安全加固那块儿。团队不大，但挺拼，平时接活儿挺多，压力不小，但学到的东西确实扎实。

3.实习内容与过程

我跟着师傅做了仨项目。第一个是帮一家电商公司查系统，主要是找Web应用漏洞，用了Nmap扫端口，BurpSuite抓包分析，最后发现15个高危漏洞，其中3个是SQL注入，还有个跨站脚本攻击（XSS）挺隐蔽。师傅教我怎么看流量日志，怎么反向追踪攻击路径，感觉比学校里做实验有意思多了。第二个是内网渗透，目标是个中型制造企业，得先拿到网段的一个普通账号，我尝试了几个常用密码，最后用字典攻击配合hashcat算了个域控密码，顺藤摸瓜上了主服务器，过程踩了不少坑，比如好几次被防火墙干掉，最后花了4天才把思路捋顺。第三个项目是做应急响应，帮一家金融机构处理勒索病毒事件，主要是隔离中毒主机，分析恶意代码，还原数据，那会儿挺慌，毕竟客户数据要紧，最后总算把事平息了，客户那边挺满意。

4.实习成果与收获

总共提交了120个漏洞，高危42个，中危78个，客户那边修复了90个，平均响应时间从原来一周缩短到5天。最大的收获是学会了怎么跟客户沟通，安全报告得写得他们看得懂，不能光堆技术参数。还搞懂了不少实战技巧，比如怎么用Metasploit的模块链，怎么写自己的Exploit，这些在学校里根本接触不到。最大的改变是心态，以前觉得漏洞挖掘就是点点鼠标，现在知道每一步都要有依据，差一点都不行。

5.问题与建议

遇到的第一个难处是团队培训太少了，就给了个安全基础手册，很多技术细节没人带，比如怎么写shellcode，怎么绕过WAF，得自己瞎琢磨或者在网上找资料。第二个是有些活儿分配不太合理，我这种新人经常被塞些重复性工作，比如整理漏洞清单，应该多教我点核心技能。建议公司搞个新人导师制，每周固定时间带我们逛逛，再编个内部知识库，把踩过的坑和好用的脚本放那儿。另外，岗位匹配度上，我感觉我的理论知识比动手能力强，但公司更看重实操，下次面试得提前练练虚拟机环境搭建和漏洞利用。

三、总结与体会

1.实习价值闭环

这8周，从2023年7月10日到9月5日，感觉像是把学校里那些零散的知识点串起来了。以前学TCP/IP协议栈，觉得枯燥，现在在项目里看到端口扫描结果，能立刻联想到可能是哪个服务在运行，甚至哪个版本有已知漏洞。比如8月初参与的那个电商项目，通过BurpSuite的被动扫描和主动探测，定位到那个隐藏的XSS，过程虽然折腾，但把课堂上学到的OWASPTop10应用得明明白白。感觉自己不再是纸上谈兵了，真正体会到安全工作是个需要持续学习的闭环，发现漏洞、分析原理、写报告、跟进修复，每一步都不能含糊。

2.职业规划联结

这段经历让我更清楚自己想干啥。以前对安全运维、安全研发都挺感兴趣，现在偏向渗透测试方向，毕竟动手解决问题的过程最过瘾。公司里那个带我的师傅说做这个得耐得住寂寞，平时可能没事干，但真有项目了就得拼命。这番话点醒了我，职业规划不能光图新鲜，得找自己真正擅长又愿意投入的领域。我打算接下来把Python脚本和自动化测试学扎实，听说现在很多高级攻防都用脚本简化流程，得跟上节奏。实习最后那两天，我在整理工作笔记时顺手用Python写了份报告模板，师傅看了说挺实用，这让我更有信心了。

3.行业趋势展望

感觉现在网络安全行业变化快得吓人，以前觉得DDoS攻击是主流，现在勒索软件、供应链攻击层出不穷。我在9月初参与的那个应急响应项目里，看到客户系统被加密后那种焦头烂额的样子，才真切感受到安全人员责任有多重。师傅说现在大厂都搞“零信任”架构，API安全也成了热点，这些新东西学校里都没怎么讲。虽然我实习时间短，但已经意识到自己的知识储备远远不够。接下来打算系统学学云原生安全那块，顺便准备个CISSP证书，感觉有这张证面试时绝对加分，至少能显得自己更专业些。从学生到职场人的转变，就是从觉得“知道就行”变成“真得会”，这种责任感沉甸甸的，但也挺带劲。

致谢

1.

感谢实习期间给予指导和帮助的团队，特别是带我的师傅，在关键问题上点拨了我很多。

2.

感谢部门里