互联网安全工程师实习报告

互联网安全工程师实习报告一、摘要

2023年7月1日至2023年8月31日，我在某知名互联网公司担任安全工程师实习生，负责Web应用安全测试与漏洞修复。期间，通过自动化扫描工具检测并修复了127个高危漏洞，其中涉及SQL注入的23个，XSS跨站脚本19个，权限绕过28个。参与编写了10份安全测试报告，协助团队完成3次安全应急响应，使用OWASPZAP和BurpSuite进行渗透测试，累计分析日志数据超过5000条，提出的安全加固建议被产品部门采纳7项。掌握了漏洞复现、代码审计和威胁建模的核心方法，验证了自动化工具与人工检测结合能提升30%的漏洞发现效率。

二、实习内容及过程

1实习目的

想着能真正摸摸真实的网络安全项目，看看跟学校里搞的不太一样在哪儿。知道现在互联网安全特别重要，想学点实用的东西，为以后工作打基础。

2实习单位简介

我去的是一家做在线服务的公司，用户量挺大，所以安全这块儿抓得挺紧。团队里专门有块儿做渗透测试和应急响应的，平时也接手一些第三方安全审计工作。

3实习内容与过程

开头跟着导师熟悉环境，用了两周时间，把公司几个主要产品的测试流程弄明白了。导师让我先用OWASPZAP自动跑了一遍线上系统，结果发现了127个问题，其中高危的有43个。

我重点跟进了一个电商后端的漏洞修复。系统用Java写的，后端有点老，参数校验特别松。我发现一个SQL注入，返回的结果直接在页面上明文显示数据库版本，当时数据库名还写死在配置里。用BurpSuite的Repeater改了改参数，直接连上数据库了。

团队让我写了个脚本，把常见的XSS点都扫出来，跑了大概三四个晚上，收集了5000多条用户行为日志，最后整理出19个真实可利用的漏洞。有个iframe注入，得配合特定用户权限才能触发，挺绕的。

还有次遇到一个权限绕过，系统用了RBAC模型，但角色继承逻辑有漏洞，我通过递归查询把一个普通用户的权限给提到了管理员级别，最后花了两天跟后端沟通才改好。

4实习成果与收获

总共修复了127个漏洞，提交的10份测试报告里，有7条建议被产品那边采纳了，比如统一了API密钥的生成规则，减少了硬编码。最后那周独立负责了一次小型的DDoS攻击模拟演练，用Nmap和Wireshark抓包分析，把流量清洗方案优化了20%，响应速度确实快了点。

感觉自己最大的进步是学会怎么跟开发那边沟通了。以前觉得漏洞写报告就行，现在明白得把技术细节讲得让他们一听就懂特别重要。还有就是理解了APT攻击那种，不是简单找个入口，而是要绕过各种防御，一步步渗透。

5问题与建议

实习期间觉得公司安全培训有点水，就发了个内部邮件提了三条建议：一是搞个定期的技术分享会，多讲讲实战案例；二是给新人配个带教师傅，我这八周要是没导师直接懵圈；三是测试工具池得更新，现在用的ZAP还是老版本，有些新插件打不开。

团队管理上没啥大问题，但有时候需求变更特别急，安全测试的时间就容易被挤占。建议项目排期得跟安全这边提前对齐，不然最后赶工测出来的东西肯定不细。

三、总结与体会

1实习价值闭环

这八周就像把书上的知识丢进现实里摔打。7月1号来的时候，对着真实业务流程还是有点懵，主要是不知道怎么把理论套用上去。后来跟着团队把三个项目的安全测试流程走完，从漏洞扫描到报告编写，再到跟进修复，整个闭环看明白了。特别是那个电商后端的SQL注入，从发现特征到复现验证，最后推动开发修复，每一步都挺具体的。127个漏洞的统计不是数字，是每个问题点都让我回想起某个实验课上的案例，现在知道怎么去追踪溯源了。

2职业规划联结

这份实习让我确认了想走纯测试这条路。以前觉得搞安全就是会用工具，现在明白技术深度和沟通能力同样重要。比如那次权限绕过，技术难点在于递归查询绕开了角色继承，但关键是怎么把复杂逻辑用开发能懂的话讲清楚。导师跟我说，以后做安全，技术是基础，能不能让人听懂、推动落地才是本事。这让我开始琢磨，要不要去考个CISSP，把管理体系这块补上。

3行业趋势展望

感觉现在安全行业特别强调自动化和智能化，但再怎么发展，攻防两端最核心的还是人对系统的理解。我实习最后那周参与的DDoS演练，其实原理挺简单的，就是流量放大，但怎么根据业务特点选对清洗方案，就考验经验了。另外，看到团队也在用一些AI辅助检测工具，但人工复核还是不能少，特别是零日漏洞那种，机器未必能覆盖。所以我觉得，以后安全工程师不能只懂技术，还得懂点产品、懂点业务，这样才能提前发现风险点。

4心态转变

最直观的感受是责任感。7月15号有个报告提交，里面有个高危XSS，我当时犹豫要不要直接发紧急通知，导师让我先评估下影响，后来发现影响范围不大，就改成了普通紧急。这让我明白，安全不光是找问题，还得懂怎么权衡风险。现在觉得抗压能力也强了点，以前做实验失败就有点丧，现在碰到棘手的漏洞，会先想想还能从哪个角度切入，而不是直接放弃。这种心态转变，可能比单纯学会几个工具更有价值。

5未来行动

接下来打算先把OWASPTop10再啃一遍，这次实习发现我漏了不少细节。另外，导师给的三个建议我记在小本本上了，回去看能不能在学校实验室复现一下那些场景。感觉这次实习最大的收获是，知道了自己哪些地方差得远，比如应急响应那块儿几乎没接触，得找机会补上。下学期打算去报个靶场的长期班，把之前没做透的漏洞都试试。

致谢

1

在这里谢谢那家公司给了我这次实习机会，跟着团队做项目确实挺长见识的。特别感谢我的导师，那八周里问题多的时候，他总是很有耐心