信息技术科联所网络安全实习生实习报告

信息技术科联所网络安全实习生实习报告一、摘要2023年7月10日至2023年9月5日，我在信息技术科联所担任网络安全实习生，负责协助完成网络渗透测试与漏洞修复工作。通过8周实践，累计完成35个系统模块的安全评估，发现并上报高危漏洞12个，中危漏洞28个，其中5个漏洞被纳入机构年度修复清单。期间应用OWASPZAP工具进行自动化扫描，日均处理数据量达2000条，利用Nmap进行端口扫描的准确率达98%。参与编写了《内部网络脆弱性分析模板》，包含可复用的风险分级标准，通过案例验证了该模板能将后续评估效率提升40%。实习期间掌握的漏洞分析流程与工具操作规范，可直接应用于企业级安全项目中。二、实习内容及过程1.实习目的希望通过实践了解网络安全工作实际流程，掌握漏洞分析与渗透测试技能，提升解决实际问题的能力。2.实习单位简介信息技术科联所是一家专注于网络安全技术研发与服务的机构，团队主要研究边界防护、数据加密、渗透测试等领域，客户以大型企业为主。3.实习内容与过程第一阶段（7月10日7月25日）学习基础工具，比如Nmap、Wireshark、Metasploit。导师给我布置任务，用OWASPZAP扫描内部测试系统，找出开放端口和潜在风险。我花了3天时间熟悉工具，期间发现几个过时脚本，后来调整了扫描策略，把误报率从15%降到5%。第二阶段（7月26日8月15日）参与实际项目，负责一个电商平台的渗透测试。系统有5个子模块，我逐个用BurpSuite抓包分析，发现支付模块存在SSRF漏洞，导致可以访问后端数据库。当时没直接报出来，先尝试修复，用公司提供的WAF规则拦截了该漏洞，但后来测试环境里还是没完全封死，最后写成高危报告提交了。期间还整理了漏洞笔记，比如某个CMS版本存在未授权访问，通过构造URL参数就能获取管理员权限。第三阶段（8月16日9月5日）独立完成一套漏洞评估模板，包括风险分级和修复建议，模板里写了12条检查点，实际用的时候能省不少时间。4.具体挑战与应对最大的困难是第一次接触真实项目时，面对复杂业务逻辑脑子转不过来。有一次分析用户登录模块，发现会话管理有漏洞，但具体怎么利用卡了两天。后来请教导师，他教我用“分步注入”的方法，先看token生成逻辑，再测试存储型XSS，最后定位到CSRF漏洞。这个过程中学会了怎么拆解问题，把一个大模块拆成小点逐一攻破。另一个问题是扫描工具报太多无用结果，导致分析效率低。我花了两天时间研究OWASPZAP的规则配置，把默认规则改成更精准的，比如只关注高优先级漏洞，过滤掉常见的Web服务器版本信息，这样每天能多出1个有效漏洞。5.实习成果与收获8周里累计完成35个模块的测试，产出12份漏洞报告，其中高危5个，中危28个。修复了3个高危漏洞，比如那个支付模块的SSRF，还帮运维团队优化了WAF策略。最大的收获是学会了怎么写报告，以前写东西只会罗列问题，现在会加上复现步骤和修复方案，比如写SSRF漏洞时，具体说明构造了什么URL，用哪个工具抓包，怎么验证。团队用的漏洞管理平台是Jira，我熟悉了里面的流程，比如新建ticket、分配任务、更新状态这些操作，现在看懂大部分安全工单都能直接上手处理。6.职业规划启发这次实习让我意识到，做安全不能光会工具，还得懂业务。比如测试电商平台，知道优惠券系统怎么运作才能设计出更精准的测试用例。现在想往应用安全方向发展，可能下一步要补补逆向和代码审计的知识。不过也发现机构内部流程有点乱，比如漏洞提交后没统一跟踪，有时候会重复报，或者修复后没人确认，这种小问题其实挺耽误效率的。7.存在的问题机构培训比较松散，都是导师带一带，没成体系的课程。另外岗位匹配度不太理想，给我安排的任务偏基础，要是能有更多参与应急响应的机会就好了。8.改进建议建议可以搞个新人培训计划，比如每周固定时间讲安全基础，或者共享一套漏洞分析手册。对于任务分配，能不能根据实习生水平分层，比如初级的多做扫描，高级的接触更复杂的场景，现在感觉有点吃不饱。三、总结与体会1.实习价值闭环这8周就像把书上的知识扔进水里，看它怎么打转。刚开始用OWASPZAP扫测试网，报了20多个漏洞，导师说一半是假警报，当时挺懵的，后来学规则去干扰项，效率直接翻倍。记得8月12号那个下午，我花4小时才定位到支付模块的SSRF，从构造请求到看响应包，每一步都像在拆炸弹。最后写报告时，导师把我的“操作手册式”报告改成“问题影响修复”三段式，才明白怎么把技术细节变成业务价值。35个模块，12份报告，现在回想起来，那些加班到10点的夜晚，磨出来的不是眼袋，是能看懂复杂系统的能力。2.职业规划联结导师说渗透测试现在分“基础运维型”和“深度研究型”，我当时就坐不住了。看项目里用的BurpSuitePro和商业漏洞库，突然意识到自己离“能接活”还差得远。所以下学期一定补两门课：一个是Python自动化渗透，另一个是红队工具链。9月刚拿到实习反馈，说我“工具会用但思路太直”，比如扫漏洞时只会广撒网，学到现在才懂要结合业务场景挖深坑。现在把导师给我的漏洞分析方法整理成文档，每天抽1小时复盘，比如8月25号测试那个ERP系统，我通过分析DNS请求发现内网IP，这种“蛛丝马迹”的活儿以前根本想不到。3.行业趋势展望实习最后两周看团队处理钓鱼邮件事件，发现现在安全攻防早就超出了边界。9月1号有个客户反馈，说他们的WAF拦截了90%的攻击，但剩下的10%全是APT级别的零日利用。当时正好在研究内存马，突然觉得学校教的“漏洞原理”太碎片了，必须跟紧行业工具迭代。比如公司用的Sigma平台，每天都有新事件模板，从数据里看，今年夏秋季勒索软件变种比去年多了37%，这背后其实是加密货币炒作带动的。所以现在在学CobaltStrike，想着明年秋招能接点APT模拟演练的活儿，哪怕只是辅助分析，也好过只会用现成工具。4.心态转变与未来行动以前写实验报告连格式都懒得调，现在提交的漏洞报告被导师夸“专业”，这种落差感超强的。记得7月20号第一次被分配真实项目时，手心直冒汗，生怕误伤生产环境。结果导师轻飘飘一句“安全就是拿捏概率”，让我突然醒悟，原来那些SOP不是教条，是帮我们控制风险。现在看行业大佬直播，发现人家说“漏洞管理是门艺术”，以前觉得扯，现在才懂，比如8月15号那个高危SSRF，如果当时没跟运维确认修复效果，直接发通报，后果可能很严重。所以下阶段准备考个CISSP，把学校教的“理论”变成“体系”，至少得知道漏洞从发现到修复全流程怎么跑通。四、致谢1.感谢信息技术科联所给我这次实习机会，让我接触到了真实的安全项目。2.特别感谢我的导师，在漏洞