网络安全网络安全公司网络安全实习报告

网络安全网络安全公司网络安全实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家网络安全公司担任网络安全实习生，负责协助团队进行漏洞扫描与渗透测试。通过参与三个项目的安全评估，累计完成200个Web应用模块的漏洞排查，识别出58个高危漏洞并提交至漏洞管理系统，其中12个被列为P1级并推动客户修复。在师傅指导下，我熟练运用Nmap、BurpSuite、Wireshark等工具，结合OWASPTop10框架制定测试流程，将平均漏洞定位时间缩短15%。提炼出“分层扫描重点突破闭环验证”的漏洞管理方法论，适用于中小型企业安全审计，可减少30%的误报率。

二、实习内容及过程

1.实习目的

想通过实践了解网络安全在真实商业环境里的运作，把学校学的那些东西，比如网络协议、加密算法、渗透测试技巧，跟实际工作对上号，看看自己哪些地方做得还不到位，哪些知识需要赶紧补上。

2.实习单位简介

我实习的公司是做网络安全服务的那种，帮企业搞安全评估、应急响应、系统加固。团队不大，但每个人都挺忙的，客户要求也严格，对技术细节抓得特别细。

3.实习内容与过程

前两周主要是熟悉环境，跟着师傅看他们怎么接项目，怎么写测试报告。7月8号开始参与第一个项目，是个电商平台的渗透测试。我负责的是Web应用模块，用Nmap扫了200个接口，发现58个漏洞，高危的有12个，比如SQL注入、跨站脚本（XSS），还有几个是SSRF。师傅教我怎么用BurpSuite的Repeater插件抓包，分析请求参数，慢慢定位漏洞。7月20号左右，有个请求一直没返回正常数据，我试了半天，发现是服务器端请求伪造（SSRF）没封死内部IP，最后用内网IP绕过了。这个让我意识到，光扫外网不够，得懂内网架构。

8月5号开始接手第二个项目，是个金融机构的系统加固。这次主要用Wireshark抓HTTPS流量，分析加密证书，发现有个中间人攻击的隐患，因为证书是自签的，客户端没校验。我们改用了Let'sEncrypt的证书，强制HTTPS。8月15号，有个测试环境被拖了进去，我帮忙查了日志，发现是某个开发人员调试接口忘了关闭，用了弱口令。这个事让我觉得，安全意识培训得加强。

4.实习成果与收获

8周里，我提交了70份漏洞报告，其中有12个被客户列为P1级，后来都修复了。最让我有成就感的是7月那个电商项目，我找到的12个高危漏洞，客户那边直接给了我们团队10万块的奖金。这让我明白，做安全真的能创造直接价值。另外，我也学会了怎么跟客户沟通，把技术问题翻译成他们能懂的话。

这次最大的收获是，知道了理论怎么落地。比如，学校教的OWASPTop10，在实际项目中，前五个漏洞占了一半以上，特别是SQL注入，永远不能掉以轻心。还有就是，安全是个持续迭代的过程，今天封住了这个漏洞，明天可能又冒出新的，得不断学。

5.问题与建议

实习期间也碰到点问题。比如，公司管理有点乱，项目交接的时候，文档不全，我花了半天时间找之前的测试记录。还有培训机制，新来的实习生就靠师傅带，要是能有个系统的培训手册就好了。

我建议公司搞个知识库，把以前的漏洞案例、测试脚本都放上去，新人可以直接用。另外，可以搞点定期的技术分享会，让大家都交流下思路，比如我后来才知道，有些漏洞利用技巧，他们内部早有现成的工具。

三、总结与体会

1.实习价值闭环

这8周，感觉像把书本上的安全知识掰开了揉碎了，真正用在了刀刃上。比如7月那个电商项目，我提交的58个漏洞里，有12个高危，最后客户给了奖金，这让我觉得，学的东西能产生实际价值，特有成就感。之前在学校做实验，漏洞复现成功就完了，现在得考虑漏洞在真实环境里的影响，怎么写报告让客户明白，怎么确保修复方案有效，这整个过程，让我对渗透测试的理解从点到面。

最直接的改变是技能栈的更新。刚开始只会用Nmap扫端口，现在能结合BurpSuite做深度分析，甚至用Wireshark解读复杂的加密流量。7月21号那天，为搞清楚一个拖慢服务器的请求，我查了半天，最后发现是DNSRebinding的利用，这个细节让我意识到，攻防对抗里，耐心和细致太重要了。这些收获，比单纯背书强多了。

2.职业规划联结

这次实习让我更清楚自己想干嘛了。之前有点迷茫，觉得搞安全要么进红队，要么做蓝队，现在觉得，做安全咨询或者风险评估可能更适合我。因为除了技术，跟客户沟通、写报告、做方案也很重要。我师傅跟我说，做安全的人，得既能沉到技术里，也能跳出来看全局。这番话点醒了我。

我打算接下来好好啃几本安全运维的书，比如看下CISSP里关于风险管理的内容，顺便准备个CEH证书，把漏洞分析和报告能力再拔高。师傅还告诉我，以后面试，能说清楚几个自己做过的项目，尤其是量化了成果的，比如“我这次帮客户找到了12个高危漏洞，避免了潜在损失XX万”，比只会说“我用了什么工具”有说服力。这让我意识到，实习经历得好好总结，变成自己的亮点。

3.行业趋势展望

在公司待久了，感觉现在安全行业变化特别快。以前搞安全可能靠手动，现在AI开始介入了，比如自动化漏洞扫描、恶意代码分析，效率高很多，但这也要求从业者得懂点机器学习。8月那个金融机构项目里，我们就用了个开源的机器学习工具，自动识别异常流量，挺有意思的。

另外，零信任架构、多方安全计算这些概念，客户开始问得多了。8月29号开会时，团队在讨论怎么帮客户设计一个零信任的访问控制方案，感觉这就是未来的方向。我记下了几个关键词，比如SPN、ZTNA，打算回去补补课。行业在变，不学习真的会被淘汰。这次实习让我明白，大学只是起点，得持续跟进。

最重要的是心态转变。以前做实验，问题解决了就完事，现在明白，安全是个责任活，一个疏忽可能让客户遭殃，压力是真的大。但反过来，解决了别人头疼的问题，那种满足感也超值。这种感觉，大概就是从学生到职场人最核心的差别吧。后续肯定得把这种责任心带进学习和工作中。

四、致谢

1