互联网安全网络安全企业安全顾问实习报告

互联网安全网络安全企业安全顾问实习报告一、摘要

2023年6月5日至8月23日，我在一家互联网安全企业担任安全顾问实习生。期间，我参与公司某金融客户的渗透测试项目，覆盖系统包括5个Web应用和2个移动端接口，累计发现高危漏洞23个，中危漏洞47个，其中SQL注入漏洞占比38%。通过应用OWASPZAP和BurpSuite进行自动化扫描，结合手工检测，定位了3处未授权访问路径。在导师指导下，我建立了包含50条安全规则的扫描模板，并编写了2份漏洞分析报告，平均报告撰写耗时3小时/份。实习中，我熟练运用了漏洞利用链分析、权限控制绕过等技术，验证了企业安全体系中的防火墙配置有效性，协助团队完成了一次应急响应演练。

二、实习内容及过程

2023年6月5日到8月23日，我在一家做网络安全的企业实习，岗位是安全顾问。公司主要服务金融和零售行业，搞安全方案和渗透测试。我跟着师傅做了一家零售客户的渗透测试，目标是找出系统漏洞。项目里涉及5个Web应用和2个移动端API，用OWASPZAP和BurpSuite跑了一轮自动化扫描，又手动检查了关键模块。扫描花了12天，发现高危漏洞23个，中危47个，高危里SQL注入占了38%，还有几个是跨站脚本和权限绕过。师傅教我用BurpSuite的Repeater插件调试请求参数，搞懂了怎么绕过支付接口的验证逻辑。第一次写漏洞报告时卡壳，导师给我看了他以前写的报告，说要把技术细节和复现步骤写清楚，不能光说问题。后来我整理了50条扫描规则，扫描效率提高了60%。还参与了应急响应演练，模拟了DDoS攻击，学到了怎么用Ntopng分析流量异常。

实习里最难的是移动端逆向，那2个API用了加密传输，一开始没思路。后来我自己买了部测试机，用IDAPro反编译了APK，发现加密密钥硬编码在代码里。这个过程花了3周，挺费劲的，但最后成功解密了数据包。师傅说逆向工程关键在于耐心和逻辑推理，不行就换思路试试JEB工具。实习结束我提交了3个高危漏洞，客户那边反馈说我们找的问题挺关键的，尤其是那个支付接口漏洞，要是没发现用户钱可能就丢了。这次经历让我意识到，安全工作不是光靠工具，得懂业务逻辑，比如怎么通过分析用户操作路径找到逻辑漏洞。

遇到的问题是公司培训比较松散，没人系统地讲漏洞原理，都是师傅带着做项目时顺带说。有时候任务分配也不够明确，得自己问才知道该干嘛。建议公司可以搞个新人培训计划，比如每周讲次常见漏洞原理，或者把师傅的经验总结成文档。另外，岗位匹配度上我觉得我可以做得更好，比如对某些技术领域了解太浅，比如云安全那边。要是实习前能有更针对性的预习，效率会高不少。总的来说，这次实习让我知道了自己的短板，也明白安全工作需要持续学习，不能停。

三、总结与体会

这8周，从2023年6月5日到8月23日，在安全顾问岗位上的经历，让我对互联网安全有了更实的感受。实习不是光在学校纸上谈兵，真上手做渗透测试，才明白漏洞扫描报告不是随便写的。比如那次给零售客户做项目，5个Web应用和2个移动端API，扫出来70个漏洞，其中23个高危，写报告时师傅让我把SQL注入的复现步骤拍得明明白白，他说客户要的是可操作方案，不是技术报告。这让我知道，安全顾问不光要懂技术，还得会跟人沟通，把复杂问题说简单。

实习最大的收获是学会了怎么把理论用在实际里。之前学过OWASPTop10，但真遇到一个复杂的业务逻辑漏洞，比如绕过支付验证，就懵了。后来自己琢磨，又请教师傅，最后用BurpSuite的Repeater改参数，还真绕过去了。这个过程让我觉得，安全这行，光看书没用，得动手，得不怕试错。实习也让我看清了职业规划，我发现自己对移动端安全特别感兴趣，那2个移动端API的逆向工程过程虽然苦，但挺有成就感。师傅说移动端攻防是未来趋势，我打算下学期深挖这个方向，看看能不能考个MobileSecurity相关的证书。

行业变化快，安全攻防就是矛和盾的持续博弈。这次实习让我体会到，学校学的理论基础是底子，但真要干，还得靠实践积累。比如应急响应演练中，面对模拟的DDoS攻击，第一次有点慌，后来跟着团队用Ntopng分析流量包，慢慢就镇定了。这种心态转变，从学生时代遇到问题找老师，到职场人自己扛事、想办法，是这次实习最大的成长。未来不管是继续深造还是找工作，这段经历都是我的底气，我会把实习里遇到的问题都记下来，当作后续学习的靶子，争取下次遇到类似情况能更快上手。

四、致谢

在这次2023年6月5日至8月23日的实习中，得到了很多帮助。感谢那家公司给我实习的机会，跟着团队一起做项目很受启发。特别感谢我的导师，耐心指导我怎么做渗透测试，怎么写漏洞报告，那些关于SQL注入和权限绕过的问题点，都是他帮我理清楚的。还有带我的几位同事，他们