计算机网络网络安全公司网络安全实习生实习报告

计算机网络网络安全公司网络安全实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在一家网络安全公司担任网络安全实习生，负责协助完成网络渗透测试、漏洞分析和安全加固工作。通过参与5个企业级项目的安全评估，累计发现并报告23个高危漏洞，其中12个被权威平台收录，并推动完成3个系统的安全补丁更新。期间应用OWASPZAP、Nmap等工具进行自动化扫描，结合手工检测技术，平均每个项目节省15%的测试时间。提炼出的“分层防御动态验证”方法论，在内部技术分享中被采纳用于优化测试流程，提升漏洞定位效率20%。实习期间掌握的漏洞挖掘与应急响应流程，可直接应用于实际网络安全工作中。

二、实习内容及过程

实习目的主要是把学校学的网络攻防知识用上，看看实际工作是怎么干的，顺便积累点项目经验。

实习单位是做网络安全服务的，主要给企业做安全评估、渗透测试和应急响应。他们有专门的安全靶场，也有客户现场测试环境。我跟着团队做了8周，接触了两个项目，一个是模拟电商系统的渗透测试，另一个是帮一家制造企业做网络边界安全检查。

实习内容挺具体的。第一天导师给我看了OWASPTop10，接着就上手用Kali系统里的工具。第3周开始独立负责电商项目的一个子模块，用Nmap扫了80个端口，然后用BurpSuite抓包分析，发现3个SQL注入点，1个跨站脚本（XSS）。其中一个SQL注入是高危的，返回了数据库版本信息。我赶紧用SQLMap自动化测试，花了2天时间摸清楚了数据库结构，还顺带把一个存储过程给改了。写漏洞报告的时候，我得挺仔细的，把复现步骤、危害等级、截图、修复建议都写清楚。制造企业那边主要是用Nessus做漏洞扫描，我跟着安全工程师去了客户现场一次，他们那网络挺复杂的，用了交换机、路由器、防火墙，我得根据资产清单一个一个区域测。现场环境跟实验室不一样，得特别注意网络隔离，不能把客户其他系统给影响到。

第5周遇到个挑战，是电商项目里的一个逻辑漏洞，加购商品数量超过9999会崩溃。这事儿挺棘手的，因为不是传统漏洞，得手动构造请求。我查了好多资料，试了各种参数组合，最后发现是后端处理整数溢出了。导师给我支招，让我用Python写脚本模拟用户操作，慢慢加数量，最后定位到问题。这让我明白，有时候得跳出常规思维。

实习成果的话，电商项目最终提交了7个漏洞报告，被客户采纳了5个。制造企业那边发现20多个高危漏洞，推动他们更新了3个系统的补丁。我写的其中一个报告，客户反馈说挺实用的，直接照着建议就搞定了。技能上，我现在用Nmap、BurpSuite、Metasploit都顺手多了，还会用Python写简单的扫描器。思维上，感觉不像以前那样纸上谈兵了，知道怎么根据实际情况调整测试策略。

遇到的问题主要是，单位有时候项目赶得紧，培训时间就少了。比如无线安全那块儿，就给我讲得挺仓促的。另外，我感觉他们内部流程可以优化下，比如漏洞管理环节，有时候信息传递会有点延迟。

我建议他们可以搞个更系统的实习生培训计划，比如每周固定时间讲某个专题，或者把成熟的测试脚本库共享出来。还有，漏洞报告模板可以再标准化点，提高沟通效率。岗位匹配度上，我觉得挺合适的，就是得自己多主动学，不能光等着分配任务。这段经历让我更坚定了走网络安全这条路，以后肯定得继续深耕这个领域。

三、总结与体会

这8周实习，感觉像是从书本里走到了真实战场，收获挺具体的。刚开始7月1号去的时候，心里挺打鼓的，怕自己学的知识用不上。但实际干起来，发现学校教的TCP/IP、网络协议分析，还有渗透测试的基本方法，都是真金白银。我参与的两个项目，一个电商模拟环境，一个真实的企业网络，都让我把OWASPTop10里的几个漏洞给复现了。特别是那个SQL注入，通过BurpSuite的拦截和SQLMap的辅助，我不仅找到了漏洞，还摸清了对方数据库的一部分结构，写报告的时候感觉挺有成就感的。累计提交的7份漏洞报告，虽然最后只被采纳了5个，但每个报告都让我对漏洞描述、危害评估有了更深的理解。这8周里，我处理过的扫描数据超过5000条，修复建议推动了至少3个系统的安全加固，这些数字让我觉得自己的工作是有价值的。

实习最大的体会是，安全这行不是光会工具就行，得懂业务，还得会沟通。跟制造企业那边沟通的时候，我得把技术问题翻译成他们能听懂的话，解释为什么某个端口要封，某个补丁要打。这让我意识到，以后想做好安全，光埋头敲代码是不够的。职业规划上，这次经历帮我更清晰了方向。我原来觉得安全工程师就是不断发现漏洞，现在明白还得结合风险评估、应急响应。未来几年，我打算在无线安全、云安全这几个方向多下功夫，争取明年考个CISSP或者CEH证书，把理论知识和实践经验结合起来。

看着公司墙上挂的安全事件通报，我明白了学校老师常说的那句话，“安全无小事”。从学校到实习，心态上最大的变化是责任感。以前做实验，失败了就重做，现在不一样，一个测试指令下去，可能影响到客户的业务，得格外小心。抗压能力上也有了提升，比如那个电商项目的逻辑漏洞，试了两天没解决，当时挺焦虑的，但最终还是找到了突破口。这种解决问题的经历，比单纯学知识更有用。行业趋势上，感觉AI在安全领域的应用越来越多了，像恶意代码分析、异常行为检测，以后肯定得学学怎么跟这些技术打交道。这次实习就像打开了一扇门，让我看到了更广阔的天地，后续的学习和求职，我会带着这份体验去争取更好的机会。

四、致谢

感谢实习单位给我这个机会，让我在真实的网络安全环境中学习和锻炼。

特别感