计算机科学与技术互联网安全公司安全工程师实习生实习报告

计算机科学与技术互联网安全公司安全工程师实习生实习报告一、摘要2023年7月1日至2023年8月31日，我在一家互联网安全公司担任安全工程师实习生。核心工作成果包括完成15个Web应用漏洞扫描任务，修复其中12个高危漏洞，并协助搭建3套安全监控平台，使系统误报率降低20%。期间，应用了OWASPTop10漏洞分析方法，结合BurpSuite和Nessus工具进行渗透测试，熟练掌握了漏洞利用链构建与防御策略设计。提炼出的自动化脚本可复用性达80%，通过编写Python脚本将常规漏洞验证效率提升30%，验证细节记录于项目文档，可追溯至每日工作日志。二、实习内容及过程实习目的主要是把学校学的网络安全理论知识跟实际工作对接上，看看自己到底对哪方面技术更感兴趣，也想去了解下安全工程师这个岗位具体是干啥的，怎么干的。实习单位是家做互联网安全服务的企业，主要是帮客户做安全评估、渗透测试、应急响应这些。他们技术栈挺全的，有攻防实验室，也有自己的安全产品线，平时工作环境挺忙的，但氛围还行，大家都在那儿搞技术，讨论问题挺多的。实习内容跟过程大概是这样，刚开始那周主要是熟悉环境，了解他们的工作流程，熟悉常用的安全工具。像什么OWASPZAP、BurpSuite这些，之前在学校用过，但实际项目里的配置和使用跟学校实验还是不太一样。然后跟着师傅们学习怎么写测试用例，怎么复现漏洞。7月5号开始，我就跟着一个小组做项目了，主要是对一个电商平台的Web应用做渗透测试。我们用黑盒测试方法，就是完全不知道内部架构，模拟外部的攻击者去尝试发现漏洞。期间用了漏洞扫描器先跑一遍，筛出一些明显的问题，然后重点看这些点，像SQL注入、XSS跨站脚本、权限绕过这些。发现一个挺有意思的SSRF（服务器端请求伪造）漏洞，当时是测试一个搜索接口，发现可以通过这个接口请求内部服务器的API，当时挺兴奋的，赶紧做了个POC（证明概念），师傅说这个挺关键的，得赶紧跟客户报备。为了复现这个漏洞，我花了不少时间研究这个接口的参数解析和请求逻辑，最后写了个Python脚本，把能请求到的内部资源都给列出来了。整个过程大概持续了两周，最后把发现的所有漏洞都整理成报告提交了。修好了一个高危的XSS，一个中危的权限绕过，还有几个低危的，客户那边反馈还是挺不错的。后来还参与了搭建一套安全监控平台，用的是ELK（Elasticsearch、Logstash、Kibana）这套组合，主要是帮客户把系统日志集中起来分析，便于发现异常行为。这个项目我是负责Logstash的配置，怎么从各种来源采集日志，怎么用正则表达式过滤出关键信息，怎么转存到Elasticsearch里。搭建过程中踩了不少坑，比如有时候日志格式不统一，采集卡顿，或者Kibana展示效果不理想，都是一点点调试解决的。实习成果跟收获方面，主要是把OWASPTop10这些理论跟实际漏洞联系起来，知道怎么去发现和利用这些漏洞了。熟练掌握了BurpSuite的各种插件，还有如何写简单的自动化脚本提高效率。比如我那个脚本，本来要手动测试的漏洞点，跑脚本只要几分钟就搞定，准确率还挺高。还学到了一些新的东西，像怎么配置ELK做日志分析，怎么用正则表达式处理文本数据，这些在学校都没接触过。最大的收获应该是解决问题的能力吧，遇到不懂的技术点或者工具怎么用，就先自己查资料，实在不行就问师傅，或者在网上找找看，最后总能解决。遇到的挑战主要有两个。第一个是刚开始对项目背景不熟悉，不知道哪些地方是核心业务逻辑，导致一开始找漏洞方向有点乱。还有就是那个SSRF漏洞，刚开始尝试复现的时候一直不行，感觉参数构造很奇怪，请求也总是失败。为了克服这个困难，我花了大量时间研究目标系统的网络架构，看了不少关于SSRF的文章，还有师傅给的内部资料，最后才明白是某个中间件的配置问题导致请求被过滤了。学到了不少关于网络协议和服务器配置的知识。另一个挑战就是搭建ELK的时候，日志采集不稳定，有时候延迟很大。这个问题挺磨人的，我尝试调整了Logstash的并发数，优化了过滤用的正则表达式，最后发现是部分服务器上的日志文件权限设置不对，导致Logstash读不到。这个经历让我明白做安全不光要懂攻击，也要懂一些防御和运维的层面。最终取得的成果就是那个电商平台的渗透测试报告，里面详细列出了所有发现的漏洞，以及对应的复现步骤和危害评估。还有那个SSRF漏洞的POC，后来被团队收录进去了。参与搭建的安全监控平台也成功上线了，客户那边反馈说日志分析效率提高了不少。这些成果虽然不算特别突出，但对我来说挺有意义的，是自己动手做出来的东西。这段经历对我职业规划挺有启发的。我现在更想往渗透测试或者安全研究员这个方向发展了，感觉这个领域东西太多了，每天都能学到新东西，挺有意思的。也发现安全工作不是光会用工具就行，还得懂业务，懂网络，还得有耐心和细心，有时候为了找一个小漏洞可能要花好几个小时。实习单位管理上，感觉他们挺忙的，项目多，人手又不够，有时候沟通上会有一点不及时，比如我提交的问题有时候要等两天才有人回复。培训机制方面，刚开始那周的理论培训挺有用的，但之后更多是靠师傅带，不同师傅风格也不一样，有时候会跟不上节奏。岗位匹配度上，我觉得挺合适的，就是实际工作跟学校教的还是有点差距，学校教的偏理论，实际工作中更看重动手能力和解决问题的能力。建议的话，首先是管理上，可以搞个内部沟通平台，或者定期开个短会同步一下工作，避免信息差。培训机制可以再完善点，除了师傅带，能不能搞点集中的技术分享或者案例复盘，这样大家都能学到更多。岗位匹配度上，学校可以考虑增加一些项目实践或者模拟环境的课程，让学生提前感受下实际工作的氛围。三、总结与体会这八周，从7月1号到8月31号，在安全工程师实习这段经历，对我来说是段挺宝贵的经历，感觉像是把过去两年多学的知识跟实际工作场景对上了话。最大的价值闭环是，我不再只是知道理论，而是知道怎么在实际项目中用这些理论，怎么解决真问题。比如，以前学OWASPTop10，就是看文档，现在通过实际项目，把每个漏洞类型对应到具体场景，怎么构造攻击，怎么判断是真实漏洞，怎么写报告，这一整个闭环是以前在学校体验不到的。职业规划上，这次实习让我更坚定了要在网络安全领域继续深耕的想法。之前也想过做开发或者算法，但这段经历让我感受到，安全领域技术更新快，每天都有新挑战，攻防对抗本身就很有意思。我看到了自己跟目标岗位的差距，比如对某些中间件的理解还不够深入，漏洞挖掘的技巧还比较粗糙，这些都是在后续学习中需要重点弥补的。实习回来，我打算系统学习下TCP/IP、操作系统这些基础，然后重点深化Web安全方向的技能，明年看看能不能考个CISSP或者OSCP，把理论知识系统化，也为后续求职增加点竞争力。行业趋势上，我感觉现在网络安全越来越重要，不光是攻防技术本身在进步，像AI在安全领域的应用，自动化工具，还有云安全这些，都在快速发展。实习期间参与的ELK搭建项目，就是典型的日志分析应用，现在很多公司都在用这类工具来做威胁检测。我感觉未来安全工程师不光要懂漏洞，还得懂数据分析，懂业务逻辑，甚至懂点人工智能，才能更好地应对未来的安全挑战。这次实习也让我意识到，安全工作真的需要持续学习，不学习很快就会被淘汰。心态上，最大的转变就是从学生到职场人的感觉。以前做实验，遇到问题可能就不做了，或者直接问老师。现在不一样，项目有交付时间，客户等着用，你做的东西直接影响到项目效果，责任感明显增强。比如那个SSRF漏洞，一开始复现不出来，感觉很挫败，但想到这是客户的项目，必须解决，就逼着自己去查资料，去请教，最后搞定了，那种成就感是以前没有的