网络安全公司安全工程师实习生实习报告

网络安全公司安全工程师实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家网络安全公司担任安全工程师实习生。核心工作成果包括协助团队完成3个企业的网络安全评估，发现并修复12处高危漏洞，编写2份详细的渗透测试报告。期间，应用了Nmap、Metasploit等工具进行端口扫描和漏洞复现，熟练掌握了OWASPTop10漏洞分析框架，并参与编写了公司内部的安全加固指南，其中包含的10条规则被团队采纳。通过实践，深化了对网络攻防技术的理解，并掌握了漏洞管理全流程的标准化操作方法。

二、实习内容及过程

2023年7月1日到8月31日，我在一家网络安全公司实习，岗位是安全工程师。刚去的时候主要熟悉公司流程，学习怎么用他们的漏洞扫描平台，那平台挺复杂的，得花几天时间才能摸透各个模块。7月中旬开始跟着师傅做项目，第一个任务是帮一家电商企业做渗透测试，目标是模拟黑客攻击看看他们系统有没有破绽。我们用了Nmap扫了他们80个端口，用Metasploit尝试了10种攻击方式，最后发现了12个高危漏洞，包括3个SQL注入，5个跨站脚本，还有4个配置错误。修复了那些高危的，剩下的中危漏洞也整理进了报告，那家客户后来反馈说我们找的问题挺准的。8月初又接了个银行系统的项目，这次挑战大点，因为对方要求严格，不能造成实际影响。我们改用BurpSuite做深度测试，花了整整两周才把50个API接口测完，期间遇到过几次假阳性，最后确认了7个真实漏洞，比如一个未授权访问的接口，还有一个加密套件过时的风险。师傅教我用Wireshark抓包分析流量，那会儿觉得特别烧脑，但确实把网络协议理解深了。期间还参与编写了公司内部的安全加固手册，总结了我们测试中反复出现的问题，比如常见的SSRF、XXE，怎么通过代码审计和配置限制来避免。

实习里遇到的最大困难是时间管理，有时候一个项目客户催得急，但漏洞挖掘需要耐心，有时候为了追一个零日漏洞得连续几天泡在电脑前，效率上有点吃力。后来我试着用番茄工作法，每天分块任务，比如先集中扫漏洞，再集中写报告，感觉好点。另一个挑战是有些业务逻辑我不太懂，比如银行系统里的代发工资流程，一开始分析漏洞思路跑偏，后来跟业务部门同事聊了聊才明白过来。这让我意识到，安全工作不能光盯着技术，得懂业务。技能上最大的收获是学会了如何写专业的渗透测试报告，以前写报告都是干巴巴列漏洞，现在知道怎么从背景、威胁、影响、修复建议一步步说清楚，还学会了用漏洞评分系统CVSS来量化风险。

这段经历让我更确定想往漏洞挖掘方向发展，但我也发现公司培训有点跟不上节奏，新出的漏洞补丁更新不及时，有时候得自己花钱买平台学习。建议公司可以搞个内部知识库，定期分享最新的攻防技巧，或者每周安排个技术分享会，让新来的也能快速上手。另外我觉得岗位匹配度上可以调整，我实习前以为会接触更多红队实战，但实际蓝队工作和应急响应占得比重更大，如果学校能提前讲讲这些差异就好了。总的来说，这次实习让我明白安全工作不是做几道题那么简单，得真枪实弹地练，还得懂点沟通协调，不然报告写得再漂亮人家也听不懂啊。

三、总结与体会

这8周实习，像是从书本跳进现实，感觉安全这东西不再是一堆概念和条文，而是真真切切能影响很多东西的实践。7月1号刚去的时候，连堡垒机怎么操作都搞不太清楚，得师傅手把手教。到8月31号离开，已经能独立负责一个小模块的测试，写报告的时候也敢用上CVSS评分这种东西了。期间做的项目，比如那个电商系统，扫出12个漏洞，最后人家客户说挺实用，这让我觉得自己的工作真有价值。那个银行系统的项目虽然难，但最后啃下来了，特别是学会用Wireshark分析流量，追查SSRF那种隐秘的漏洞，那种成就感，值了。

这段经历直接把我未来的路给想明白了。以前觉得学安全就是搞搞CTF，现在看来，真正的战场远比竞赛复杂，得懂业务，还得会沟通。所以接下来打算深挖一下Web安全，特别是业务逻辑漏洞，明年把CISSP证书给考了，想多了解点管理层面的东西。实习里感觉最大的变化是自己心态上成熟了，以前做实验哪次失败不气馁，现在面对客户的项目，哪怕只有百分之一的可能性出问题，也得百分之百把它查清楚，那种责任感不一样了。抗压能力也强了点，连续熬夜查漏洞，第二天顶得住继续干，这跟在学校赶due完全两码事。

看着现在网络安全新闻天天有，什么APT攻击、勒索软件，感觉我们做这行的责任重大。这次实习让我更看清了行业趋势，零日漏洞挖掘肯定重要，但基于云、AI的安全防护，还有数据隐私保护这些，才是未来大方向。我打算下学期多找点相关的开源项目练手，把云平台比如AWS的安全配置也摸摸透。这次实习虽然时间短，但感觉像是给自己的职业生涯开了个好头，接下来就是一步一个脚印往前走了，希望能早些时候真的帮到点什么。

四、致谢

感谢公司提供这次实习机会，让我接触到了真实的安全项目。特别感谢我的导师，在遇到漏洞分