互联网安全安全科技公司安全工程师实习报告

互联网安全安全科技公司安全工程师实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家互联网安全科技公司担任安全工程师实习生。期间，我参与并主导了公司核心业务系统的漏洞扫描与修复工作，累计完成200余次安全测试，发现并提交高、中风险漏洞35个，其中12个被列入CVE（通用漏洞与暴露）数据库。通过应用OWASPTop10和NISTSP80053等安全标准，我构建了一套自动化漏洞检测脚本，将常规扫描效率提升30%，日均处理量达5000+API接口。在团队协作中，我运用BurpSuite和Wireshark工具解析了50组异常网络流量日志，协助团队定位3起潜在DDoS攻击源头。实习期间，我熟练掌握了漏洞生命周期管理流程，并形成了“风险分级优先级排序闭环验证”的可复用方法论，为后续安全工作提供了量化基准。

二、实习内容及过程

1.实习目的

当初找实习，就是想看看自己学的那些网络安全知识，到底能不能在实际工作中用上。能不能帮到公司解决点真问题，顺便也把自己逼疯，逼着学到更多东西。

2.实习单位简介

我在的地方是一家做云安全服务的公司，客户主要是那种用公有云的多，搞各种微服务架构的企业。公司不大，但技术氛围挺浓，大家好像都挺忙的，但都在干自己觉得有意思的事。

3.实习内容与过程

我跟着团队做渗透测试，主要是帮他们几个大客户做系统加固。刚开始就是跟着师傅看漏洞报告，学怎么用工具。师傅给我发了几个旧系统的文档，让我先试试看。我就用BurpSuite抓包，Wireshark分析流量，还用了个开源的扫描器，天天对着屏幕找异常。大概一周后，师傅看我有点眉目了，就给我发了个生产环境的测试任务，但要求是“不能影响线上服务”。这活儿挺难，因为真不敢随便动。我就学他们怎么写自动化脚本，用Python跑一些探测命令，慢慢缩小范围。记得有一次，我盯着一个API接口看了两天，发现参数有点怪，最后定位到一个逻辑漏洞，可以越权访问别人的数据。

团队里还有个哥们儿负责应急响应，他带我看了几次他们处理DDoS攻击的过程。他们说现在流量越来越复杂，有时候根本分不清是攻击还是大流量正常访问。我就跟着用他们的沙箱环境，试了试怎么分析那些奇怪的网络包，但感觉离实战还差得远。

4.实习成果与收获

整个实习期，我独立提交了35个漏洞，有12个被客户那边定为高危，后来都修复了。我那个自动化脚本也帮团队省了不少事，扫描效率确实提了点。最大的收获是，我发现很多书上说的东西，真到了实际项目中，都得变通着来。比如，有些安全标准在云环境里就不太适用，得结合实际情况调整。我还学到了怎么跟客户沟通，他们不懂技术，你得把话说得他们能听懂。

那个越权访问的漏洞，就是我从一开始就死磕一个接口，不放过任何蛛丝马迹才找到的。师傅后来跟我说，这种活儿就是得有耐心，不能急。这让我觉得，做安全这行，脑子得灵光，手也得稳。

5.问题与建议

我觉得实习期间最大的问题，就是公司给新人的培训有点糊弄。就是发一堆文档，然后跟着做几个任务，没人系统地讲讲整个安全体系的运作。有时候遇到难题，就得自己瞎鼓捣，或者去问那个负责应急响应的哥们儿，但他也挺忙的。有时候我感觉，他们给我安排的任务，跟我学的专业方向不太搭，我好像更想搞点渗透测试的活儿，但公司可能觉得我经验不足，不敢给我放权。

我建议他们搞个新人培养计划，比如每周固定时间讲讲安全攻防的思路，或者搞个模拟靶场，让我们先在虚拟环境里练练手。而且，能不能让我接触点应急响应的活儿，我觉着那也挺重要的，虽然现在还做不好，但多看看总没坏处。

三、总结与体会

1.实习价值闭环

这八周，感觉像是从理论世界猛地闯进了实践战场。刚开始，面对那些实际业务逻辑和复杂网络环境，确实有点懵，尤其是在7月15号第一次独立负责扫描一个客户重要模块时，手心都冒汗，生怕出点错。但当我把那个藏在三层嵌套接口里的越权漏洞找出来，并且看到客户那边确认修复后，那种成就感，说实话，比考高分还提神。实习结束时，我提交的35个漏洞报告，有12个被列为高危，这个数字虽然不算顶尖，但每找到一个，都像是把一块拼图塞回了正确的位置。我做的那个自动化脚本，虽然只是小打小闹，但确实帮我把常规扫描时间缩短了大概30%，处理了日均5000多个API接口的初步筛查。这八周，让我真切体会到，安全不是纸上谈兵，而是实打实的攻防博弈，每一个细节都可能决定成败。这些经历，像一个个脚印，把我从校园里的理论学习者，慢慢推向了一个愿意动手、敢于负责的准职业人。

2.职业规划联结

这次实习，最直接的就是让我确认了自己对渗透测试的兴趣。我发现，那种在代码和流量里寻找突破口的感觉，特别刺激。实习期间，我跟着团队处理过几次疑似DDoS攻击的告警，虽然当时主要是帮忙分析日志，但看着师傅们如何快速定位源头、缓解流量，那种冷静和效率让我印象深刻。我开始想，如果以后能往这个方向发展，是不是得把网络协议、编程能力再锤炼一下？实习回来后，我就在想下一步该怎么走。学校里学的那些基础还行，但感觉深度不够，比如对BGP、DNS协议的理解还太浅。我打算下学期把重心放在这上面，顺便把CISSP证书的教材拿起来看看，感觉那套体系挺完整的。我觉得这次实习最大的价值，就是让我看清了差距，也找到了努力的方向。它告诉我，不能只满足于知道“是什么”，更要弄懂“为什么”和“怎么办”。这些在实践中磨出来的想法，肯定会成为我以后求职或者继续深造的一个优势。

3.行业趋势展望

在实习期间，我感觉最明显的变化就是，以前觉得挺玄乎的APT攻击，现在好像成了家常便饭。而且，随着大家上云越来越猛，云原生安全、零信任这些概念也天天挂在嘴边。我参与的几个项目中，客户都是在用Kubernetes这类技术，但随之而来的安全风险也特别多，比如容器逃逸、镜像篡改什么的。师傅们处理这些问题的思路，让我意识到，未来的安全工程师，光会点传统漏洞扫描肯定不行，还得懂架构、懂业务。比如8月10号左右，我们团队处理一个客户反馈的异常登录，最后发现是供应链攻击，某个第三方库被污染了。这事儿让我觉得，安全真的已经渗透到各个环节，不再是某个安全部门的职责，而是整个生态的事情。我觉得吧，未来几年，安全领域肯定还会爆发很多新东西，比如AI在安全中的应用、量子计算对现有加密体系的冲击，这些都是挺值得关注的。这次实习，虽然时间不长，但确实让我对整个行业有了更立体的认识，也让我对未来的学习有了更清晰的目标。感觉这趟下来，收获最大的不是掌握了多少工具，而是知道了安全这行，得一直学，才能跟上变化。

四、致谢

1.

感谢在