软件工程互联网安全安全技术实习报告

软件工程互联网安全安全技术实习报告一、摘要2023年7月1日至2023年8月31日，我在XX互联网安全公司担任软件工程安全实习生，负责协助完成3个项目的安全审计与渗透测试。通过应用OWASPTop10框架，识别并修复了15处高危漏洞，其中SQL注入漏洞4处，跨站脚本漏洞5处，实现漏洞修复率92%。期间，运用BurpSuite进行流量分析，累计拦截并验证了217个恶意请求，协助团队构建了基于Python的自动化扫描脚本，提升测试效率40%。掌握并实践了安全开发流程中的静态代码分析技术，将SonarQube集成到CI/CDpipeline中，使代码安全评分从65提升至88。提炼出漏洞分类统计与风险评估模型，可用于复用至同类项目的安全评估阶段。二、实习内容及过程7月1号到8月31号，我在一家做互联网安全服务的公司实习，岗位是软件工程安全方向。公司主要帮客户做应用层面的安全加固，有Web应用防火墙、渗透测试、代码审计这些业务。我的实习目的就是了解真实环境下的安全工作流，把学校学的理论知识用上。公司给我安排了两个师傅，带我熟悉环境。初期主要是熟悉工具，比如BurpSuite、OWASPZAP这些，跟着师傅做几个测试案例。7月第二周开始接触项目，第一个项目是帮一家电商客户做渗透测试。他们系统用的是SpringBoot框架，我负责用BurpSuite抓包分析，发现了一个存储型XSS漏洞，影响用户评论功能。当时不太确定是真实漏洞，花了两整天复现，最后确认了。师傅教我用Burp的Repeater插件，慢慢调整请求参数，才定位到问题。这个漏洞最终被客户采纳，他们修复后我提交了报告。第二个项目是代码审计，审查一个后台管理系统。代码是Java写的，用了MyBatis框架。我在静态分析阶段就用SonarQube扫了一遍，发现了很多低危问题，但师傅说不能只看工具结果。他带着我看了三个核心模块，其中一个用户权限控制的逻辑没做好，存在越权风险。我们手动检查了500行代码，果然找到一个API没做权限校验。最后这个项目我提交了28条漏洞建议，高危3条，中危5条，客户那边反馈说挺实用的。过程里最挑战的是一次应急响应。8月初，一个客户系统突然被攻击，出现SQL注入。我接手时已经凌晨两点，对方用盲注在试探数据库结构。我赶紧搭建了Kali环境，先用idor工具扫了几个常见路径，没找到有效入口。师傅远程指导我开个MySQL监听端口，用Mysqlbinlog实时看数据库操作。花了大概1.5小时，终于看到攻击者用'or1=1'语句试探登录。我们迅速封了对方IP，然后加固了数据库防注入设置。这次事件让我明白应急响应不是随便试几个命令就行，得结合数据库日志慢慢分析。公司的培训机制其实一般，刚开始一周就给我发了份工具手册，没系统带。遇到难题只能问师傅，有时候等回复得等半天。岗位匹配度上，我觉得安全开发这块可以再多接触些，现在主要还是偏测试。比如团队写了个安全开发规范模板，我就主动申请参与修订，希望能把学到的知识用上。我觉得最大的收获是学会了怎么把漏洞影响量化。比如提交报告时，我会算出攻击者可能获取的数据范围，给客户提修复优先级。之前在学校做实验，漏洞就是漏洞，现在知道得考虑成本。还有对行业术语的理解更深了，像"蜜罐""沙箱"这些词，现在知道怎么在实际工作里用。职业规划上，这次实习让我更倾向做渗透测试，但我也意识到得加强代码审计能力，不然很多深层次问题发现不了。三、总结与体会8周实习像是一堂生动的实践课，从7月1号到8月31号，我把书本上的安全知识用在了真实的攻防场景里，感觉收获特别大。开始的时候，面对复杂的网络流量和陌生的代码库，确实有点懵，但慢慢熟悉了工作流程，效率就上来了。比如在电商项目里，通过BurpSuite的Repeater插件反复调试请求参数，最终定位到那个存储型XSS漏洞，虽然花了两天时间，但找到问题的那一刻特别有成就感。提交的28条漏洞建议中，3条高危漏洞被客户采纳，这个结果让我觉得自己的工作是有价值的。这次经历让我更清楚了自己未来想走的路。我之前对渗透测试挺感兴趣，但实习中发现，要想做得好，代码审计能力必须跟上。学校教的编程课和网络安全基础，现在看来都成了实实在在的武器。师傅常说“安全开发是个系统工程”，这句话我一直记着。所以接下来打算深挖一下OWASPZAP和SonarQube的结合应用，看看能不能开发点自动化工具，提升效率。10月份的CISSP考试我也报名了，想把理论知识系统化，为以后求职多一个敲门砖。行业里现在都在提零日漏洞和供应链攻击，感觉技术更新太快了。公司用的那些自动化工具确实厉害，但师傅也说，工具只是辅助，关键还得靠人。比如8月初那个应急响应事件，光靠工具肯定不行，还得结合数据库日志慢慢分析。这让我意识到，安全这行，既要懂技术，还得能抗压。从学生到职场人的心态转变挺明显的，以前做实验失败了就重做，现在明白项目里容不得半点马虎，一点小疏忽可能就造成大问题。这种责任感是在学校里体会不到的。整体感觉，实习就像把理论的大厦拆开，一块块砖都拿到手，看看它怎么搭起来的。虽然过程有点累，但收获的技能和经验，肯定比单纯看几本书强。现在回头看，那些熬夜调试的夜晚，那些和师傅讨论技术方案的场景，都挺值得的。下一步就是把这些实践经验消化掉，变成自己的东西，不管是继续深造还是找工作，都有底气了。四、致谢在XX互联网安全公司这8周的实习经历，对我帮助很大。感谢公司给我这个机会，让我接触到真实的安全项目。特别感谢我的导师，他不仅在技术问题上耐心指导，还