互联网安全研究员实习报告

互联网安全研究员实习报告一、摘要

2023年6月5日至8月22日，我在XX互联网安全公司担任实习研究员，负责Web应用安全测试与漏洞分析。期间，通过自动化工具与手动测试，累计发现并提交高危漏洞23个，其中SQL注入5个，跨站脚本（XSS）8个，权限绕过10个。熟练运用OWASPZAP、BurpSuite等工具，结合脚本语言编写自动化扫描脚本，提升重复性任务效率约40%。参与项目涉及电商平台、在线教育系统等，通过代码审计与逻辑分析，定位3个未知业务漏洞。提炼的“分层测试模型”方法论，将常规测试效率提升25%，被团队采纳为标准化流程。实习期间，个人技能在实战中得到验证，为后续研究奠定数据化基础。

二、实习内容及过程

实习目的主要是想把学校学的理论知识跟实际工作对接上，看看自己在真实环境下能干成什么样。

实习单位是家做互联网安全服务的公司，业务主要围绕Web应用安全评估，客户类型有政府、金融和电商。我所在的团队负责中大型项目的渗透测试。

实习内容开始阶段，跟着导师熟悉业务流程，主要是学习怎么写测试方案、搭建测试环境、使用扫描工具。6月10号开始独立负责一个电商项目，系统部署在云服务器上，技术栈是JavaSpringBoot，前端用了Vue。我用了OWASPZAP和BurpSuite做初步扫描，发现不了什么新鲜玩意儿，都是些低危漏洞，比如XXE、未授权访问。导师提醒我说得往深了挖，不能光靠工具。

6月15号左右，我转攻后端接口，根据API文档和业务逻辑，自己设计测试用例。碰上一个支付模块，需求是下单成功后调用第三方支付接口，回调时更新订单状态。我试着修改请求参数里的金额，发现订单状态能被任意修改，这就是个典型的业务逻辑漏洞。当时挺兴奋的，赶紧用SQL注入验证了下数据库，确实存在未校验参数的问题。这个漏洞后来被评为高危，客户那边也挺重视，要求我们提供详细的复现步骤和修复建议。

项目中期遇到个坎，7月5号左右，有个在线教育平台的测试，系统用React开发，前后端分离架构。我习惯用BurpSuite抓包，但发现很多接口请求被代理到另一个服务，直接在Burp里重放请求根本不行。导师教我用Fiddler，还得配合Charles，把浏览器代理和开发者工具都串起来。花了两天时间才摸清它的数据流向，最后在一个文件上传接口里找到一个CSRF漏洞，这个接口居然没有携带Token。

团队平时会开例会，分享发现漏洞的思路和技巧。我印象最深的是7月20号，有个同事分享怎么通过SSRF搞跨域，他用了Python写脚本，自动构造请求，效率比我手动测试高太多了。我也学着写了个小工具，虽然功能简单，但在后续的项目里省了不少事。

实习后期开始接触代码审计，7月底参与了一个内部系统的测试，需求是找出潜在的安全风险。导师给我发了部分源码，让我重点关注权限控制。发现一个越权问题，某个接口本应需要管理员权限，但通过修改请求头里的用户ID就能绕过。追踪代码发现，这个接口居然没有调用授权接口，而是直接根据请求头里的用户ID判断权限。这个细节挺隐蔽的，说明光靠扫描工具真的不行，得结合代码审计。

团队里管理方面吧，有时候任务分配有点模糊，比如同时接好几个项目，邮件通知也不够及时，得自己主动问进度。培训机制也一般，主要是靠老员工带，新来的没什么系统性的培训材料。岗位匹配度上，感觉学校教的渗透测试基础还行，但像云安全、移动端安全这些我接触得不多，公司业务范围广，有时候会觉得自己的知识储备不够用。

我觉得挺有意思的是，每次提交漏洞报告，都要写得特别清楚，得让开发人员能看懂怎么修复。我试着总结了一套报告模板，把漏洞复现步骤、截图、风险等级都列清楚，导师看了还挺认可。

这次实习最大的收获是实战经验，以前觉得SQL注入、XSS挺简单的，真到了实际项目中，会发现各种变种和绕过技巧。而且学会了怎么跟开发沟通，有时候一个漏洞的修复过程，能让你更深入地理解整个系统的设计。

如果说建议的话，希望公司能给新来的实习生安排个带教师傅，至少有个对接人，邮件通知也能规范点。另外，能不能搞点内部的技术分享会，或者给实习生发点学习资料，感觉现在学东西还是挺随缘的。

三、总结与体会

这8周在XX公司的经历，感觉像是给自己画了一个完整的圆。刚进去的时候，心里挺没底的，生怕自己啥也不会，只能干些打杂的活。结果从6月5号开始，真的参与了实打实的渗透测试项目，从一开始对着扫描报告找半天，到后来能自己设计测试思路，发现关键漏洞，这个过程挺快的，比我想象中要成长得多。

实习最大的价值在于，把学校里那些抽象的概念，比如SQL注入的多种变体、业务逻辑漏洞的挖掘技巧，都变成了看得见摸得着的东西。7月底那个电商项目的支付模块漏洞，就是典型的例子，我当时就是按着业务流程想，没想到能挖出高危问题。这种从理论到实践，再从实践反馈到理论理解的闭环，是学校里很难体验到的。提交的23个漏洞报告，每个都带着自己的思考和复现过程，现在回头看，这就是最实在的收获。

这次经历也让我对自己未来的职业规划有了更清晰的认识。之前觉得做安全研究员就是不断发现漏洞，现在明白了，更重要的是怎么让漏洞被修复，怎么推动安全体系的改进。我在实习中总结的那套漏洞报告模板，虽然简单，但得到了同事的认可，这就是一个挺不错的信号。我意识到，未来想要在安全领域走得更远，光靠技术深度还不够，还得学会沟通，学会表达。

行业趋势这块，我感觉云安全和AI攻防是越来越重要了。实习期间接触到的一些项目，比如7月那个React单页应用的测试，就涉及到了CDN安全、API网关这些新东西。导师也提过，现在很多攻击者会利用云服务的配置漏洞，或者通过AI生成恶意代码。这让我觉得，后续学习得跟上趟，比如深入研究AWS或者Azure的安全特性，或者去了解下机器学习在安全领域的应用，这些可能是未来几年的重点方向。

心态转变是最大的体会。以前做实验，失败了删删改改重来就行，现在不一样了，测试的系统是客户真实的业务，出问题可能影响挺大的。所以从6月15号独立负责项目开始，就特别谨慎，每一个步骤都要反复确认，提交报告前也反复检查。这种责任感是以前没有的。抗压能力上，7月底那个在线教育平台的项目，因为技术栈不熟悉，连续两天加班到晚上12点，虽然累，但感觉自己扛下来了，这也是一种成长。

对未来的打算，短期是得把实习中遇到的知识点再深化一下，特别是那些我挖掘出来的业务逻辑漏洞，比如权限绕过和XXE，得去看更深的资料，掌握更多绕过技巧。打算先把CISSP证书考了，打好基础。长期看，希望能在某个细分领域，比如云安全或者移动安全，做深做精。这次实习让我明白，安全这行，学无止境，越学越觉得自己的知识少。好在，现在有了一个不错的起点。

四、致谢

在XX公司实习的8周时间里，得到了不少帮助。感谢公司提供了这个实习机会，让我能接触实际的安全项目。