网络安全安全技术公司实习报告

网络安全安全技术公司实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家网络安全技术公司担任实习安全分析师。核心工作成果包括协助完成3次网络安全渗透测试，识别并修复12处高危漏洞，撰写5份安全报告。期间应用了漏洞扫描工具Nessus、安全编排自动化与响应平台SOAR，并参与搭建了2个自动化防御模型。通过实践掌握了漏洞评估方法论，形成了可复用的漏洞分类处理流程，将漏洞响应时间缩短了30%。验证数据来自公司项目管理系统记录的工单处理周期，方法论细节体现在提交的《自动化防御模型优化方案》文档中。

二、实习内容及过程

1.实习目的

去之前想着能看看实际环境是怎么搞安全防护的，学点真本事，把学校那点理论用上。主要是想了解下漏洞挖掘、风险评估这些具体事，看看跟书本上讲的一样不。

2.实习单位简介

那家公司挺有名的，做网络安全这块儿不少年头的，客户都是大厂。我去的部门主要搞企业安全服务，渗透测试、应急响应、安全咨询之类的活儿都有。技术栈看着挺全，什么攻防演练、威胁情报、工控安全都有涉及。

3.实习内容与过程

刚开始一周是熟悉环境，跟着师傅看了些历史项目文档，了解他们的工作流。比如从客户需求接单，到制定测试方案，怎么用工具扫描，怎么写报告。师傅让我用Nessus搞了个小型网络靶场，跑了三个场景，把结果跟手动排查的对比，发现自动工具漏了好几个高危点，印象挺深。

后来参与了个中型企业的渗透测试项目，客户是做金融的，要求比较严。我们团队五个人，我负责应用层测试，主要是Web和API。测试期是2023年7月15号到8月5号，期间提交了12个漏洞，高危3个，中危4个，低危5个。用的工具不少，BurpSuite、OWASPZAP、SQLMap，还学了点Python写脚本批量验证漏洞。最折腾的是个越权问题，客户系统没做好权限控制，我花了四天时间把整个业务链路摸明白了，最后提交的方案里详细写了攻击链和修复建议。

期间还跟着参与了一个应急响应案子，客户被钓鱼邮件搞了，对方进了内网。我们快速定位了感染源，用了SIEM平台（就是那种收集日志的）查了三天，把所有后门清理干净了。师傅教我怎么看沙箱里的恶意代码，说以后这种事能省不少事儿。

4.实习成果与收获

最大的成果就是能独立搞渗透测试了，以前只会点点鼠标，现在能自己写poc（就是证明漏洞存在的代码），还能跟客户沟通怎么修复。学了不少东西，比如怎么用Metasploit框架搞持久化，怎么分析流量包。最大的感受是安全这东西没边界，今天学的技巧明天可能就过时了，得一直跟着行业动态走。

挑战来了是挺多的，比如有一次做测试，客户说某个系统特别抗打，我试了三天都没找到突破口。后来发现是系统用了HSTS（就是防止浏览器缓存cookie的协议），导致XSS啥的都跑不了。我就琢磨怎么绕过，最后用了SSRF（服务器端请求伪造）结合内网端口转发搞定了。这个事让我明白，安全攻防得懂协议，不能光靠工具。还有个困难是时间管理，有时候一个漏洞验证要半天，但报告交期又急，最后只能加班加点弄完。

5.问题与建议

那家公司吧，管理上有点乱，比如项目文档乱放，找东西费劲。培训机制也一般，就是发些资料自学，要是能搞个系统培训课程就更好了。岗位匹配度上，我觉得我学的理论跟实际操作还是差点啥，比如安全架构这块接触太少了。

建议他们可以搞个内部知识库，把项目文档统一管理，用标签或者关键词分类，找东西方便多了。培训上可以请资深工程师带几周实操课，比如怎么用红蓝对抗搞渗透，怎么写应急响应预案。岗位匹配度这块，可以让学生在实习前先了解下想做什么方向，公司也可以根据学生背景安排任务，别一来就全堆活儿。

三、总结与体会

1.实习价值闭环

这八周实习像把理论装进了实践的模子里。学校教的TCP/IP、加密算法、漏洞原理，在实习中一个个碰上了。记得7月18号那个渗透测试日，连续找到三个高危漏洞，当时心跳都加速了，感觉课本上那些枯燥的知识突然有了生命。提交的12个漏洞报告，每一个都带着自己的分析和修复建议，这让我觉得大学四年没白费。最值的是，师傅让我写的那个自动验证脚本，虽然简单，但真的帮我省了不少时间，也让我明白安全自动化的重要性。实习前觉得安全就是会点工具，现在知道远不止，攻防、策略、沟通一样都不能少。

2.职业规划联结

这段经历直接把我对职业的想象具体化了。我原来模糊地觉得想当渗透工程师，现在更清晰了，想往应急响应方向发展，特别是那种能快速定位威胁、动手解决问题的活儿。公司那次被钓鱼邮件攻击的案子对我刺激挺大，发现现在很多企业最缺的就是能快速响应的人。所以接下来打算把Linux安全加固、SIEM分析、溯源取证这几个方向补上，明年考个CISSP或者PMP，感觉会对简历有好处。师傅跟我说过，安全这行得有持证傍身，不然面试都过不了初筛。

3.行业趋势展望

在那段时间，感觉整个行业都在跑，云安全、AI攻防、供应链安全这些词天天见。我们测试的系统不少都用了容器化，后来才知道现在攻击者也盯上这个了，比如通过镜像仓库搞恶意代码植入。还有个印象是，客户越来越关注数据安全合规，比如GDPR那些要求，我们提交的报告里隐私保护部分得写特别详细。这让我觉得，以后安全工程师不光要懂技术，还得懂点法律、懂点业务，毕竟安全不是孤立的。公司那天分享的威胁情报报告显示，APT攻击手法越来越隐蔽，不学不练肯定跟不上。

4.心态转变与未来行动

八周前我还觉得找实习就是混个经验，现在完全变了。8月25号那个晚上，我熬夜把客户反馈的漏洞修复方案改了三版才发出去，第二天看工单状态关闭了，心里特别踏实。这种感觉以前没有，现在知道什么叫责任感了。抗压能力也肉眼可见地变强，以前遇到难题就想找老师，现在会先自己查资料、尝试，实在不行再问。师傅常说“安全人得有股狠劲儿”，现在算是有点体会了。接下来打算把实习里没啃下来的技术啃下来，比如那个SSRF的绕过技巧，还想把公司用的那个自动化平台（就是SOAR那种）摸透，毕竟现在企业都在搞智能化运维。感觉这段经历就像给我装了个“职场启动器”，以后的路该怎么走心里有谱多了。

四、致谢

1.

在这里谢谢那家公司给我实习的机会，让我见识了真实的网络安全世界。特别感谢带我的师傅，那个越权漏洞让我折腾了四天，是他点醒了我怎么分析业务逻辑。还有同组的几个同事，