互联网网络安全实习生实习报告

互联网网络安全实习生实习报告一、摘要

2023年7月1日至2023年8月31日，我在互联网安全领域担任实习生，负责协助团队完成渗透测试与漏洞修复工作。通过参与3个项目的安全评估，累计识别并报告高危漏洞28个，中危漏洞56个，推动团队完成修复23个，修复率达82.6%。在项目中应用OWASP测试框架，使用Nessus和BurpSuite等工具，熟练掌握SQL注入、XSS攻击路径分析及蜜罐系统搭建技术。提炼出的“分阶段漏洞扫描优先级排序自动化验证”方法论，将常规漏洞评估效率提升30%，为后续工作提供可复用流程。

二、实习内容及过程

实习目的主要是把学校学的网络安全理论知识用到实际工作中，了解真实项目的安全流程，提升动手能力。

实习单位是家做互联网产品开发的公司，安全部门不大，但每个人都挺忙的，主要搞应用安全防护和响应。

实习期间跟着师傅做渗透测试，参与了两个项目。7月10号开始接手项目A，是个电商后台系统，我用了两天时间用Nessus扫了个基础漏洞，发现20多个问题，后来跟着师傅一起深挖，找到5个高危漏洞，比如一个未授权访问的API，返回了数据库敏感信息，还有个SQL注入点，能直接看用户订单。师傅教我怎么写PoC，怎么用BurpSuite抓包分析，最后这些问题都提交给开发那边修复了。项目B是个小程序后端，8月5号接手，主要问题是XSS跨站脚本，有个弹窗XSS直接在首页展示了，影响不大但挺基础的问题。我花了一周时间把整个前端接口都过了一遍，还用到了盲注技巧，最后整理出10个漏洞报告。

遇到最大困难是刚开始不太懂业务逻辑，找漏洞方向跑偏了，比如项目A一开始想找服务器漏洞，结果师傅说先把应用层的问题搞清楚。后来我学着看产品需求文档，慢慢理解了数据流转过程，效率高多了。还不太会写规范的漏洞报告，跟师傅学了CVE格式，怎么写影响评估，怎么给漏洞分级。

实习成果就是两个项目共提交33份漏洞报告，高危占比40%，推动修复了28个，修复率大概83%。我学会了好几个工具的进阶用法，比如Nessus的脚本编写，BurpSuite的repeater插件，还有怎么搭建简单的蜜罐环境做压力测试。

跟着团队做项目，感觉最深的体会是安全不是孤立存在的，一定要结合业务来考虑，单纯扫工具出来的问题很多都无效。之前以为漏洞挖掘就是找布尔表达式，现在明白理解系统设计更重要。这次经历让我确定想往应用安全方向发展，以后得多练练代码审计和业务分析能力。

实习单位挺好的，但感觉管理上有点乱，比如测试报告提交格式不统一，有时需要反复沟通。培训机制也一般，主要是靠师傅带，要是能有更系统的课程或者案例库就好了。岗位匹配度方面，感觉我学的理论跟实际需求还是有点脱节，比如逆向安全这块接触得少，要是学校能多安排些动手课就好了。

建议单位可以搞个内部知识库，把常见漏洞和修复方案都整理好，新人上手快些。另外可以组织定期的技术分享会，大家交流下最新的攻击手法和防御思路。学校层面可以多跟企业合作，搞些模拟环境或者真实项目案例进来，让学生实习前有个预演。

三、总结与体会

这8周实习，感觉就像把书本里那些零散的知识点，拼成了一个个真实可见的拼图。从7月1号开始到现在，每天面对具体的系统漏洞，不再是纸上谈兵，而是真真切切地看到自己的操作能直接影响到系统的安全边界。提交的33份报告，被修复的28个漏洞，这些数字不再只是任务完成量，它们是我参与构建防御线的证据。通过项目A中SQL注入的挖掘，项目B里XSS的分析，我学会了怎么从工具扫描的噪音中找到真正的威胁，怎么根据业务逻辑设计攻击路径，这种从感性认知到理性分析能力的转变，是学校里很难体会到的。

这次经历让我更清楚自己想要什么。之前觉得网络安全就是个宽泛的概念，现在明白应用安全、数据安全这些方向都需要深耕。实习中师傅常说“安全是细节的叠加”，这句话我现在天天琢磨。比如项目A那个未授权访问的API，就是因为在开发时疏忽了权限校验，这种问题特别低级但危害不小。这让我意识到，做安全不仅是技术活，更是需要严谨态度和责任心的活。以后想继续往这个方向发展，短期计划是先把OWASPTop10相关的漏洞原理和防御手段吃透，再考个CISSP或者PMP证书，长远看希望能参与更复杂的渗透测试或者应急响应项目，真正把“防御”和“攻击”两种视角都玩明白。

行业变化太快了，感觉每天都在新花样。实习中接触到的一些零日漏洞利用手法，还有云原生环境下的安全配置，都让我觉得知识更新速度根本跟不上攻击面扩张的速度。公司用的那个自动化漏洞验证平台，效率比我手动测试高太多了，这也提醒我以后不能只靠蛮力，得学学怎么利用AI工具提升分析效率。看到团队里前辈们处理应急事件时的冷静和专业，就觉得这个行业需要极强的抗压能力和快速学习能力，以后遇到困难不能再像学生时代那样退缩，得学会在压力下找到突破口。

最深的感受是从“学生思维”到“职场思维”的转变。以前做实验或者写报告，完成就好，现在明白工作交付意味着对整个业务负责，每一个漏洞报告都可能引起开发、运维甚至法务的关注，必须得严谨、清晰、有理有据。这种责任感不是学校能教会你的，只有在实际工作中慢慢体会。虽然实习结束，但感觉学到的东西才刚刚开始，接下来会把这些经验都融入后续的学习计划里，争取下个学期能独立复现一些真实漏洞，再看看有没有机会参与一些开源安全项目，把理论结合实践的路越走越实。

致谢

在这8周的实习期间，得到了很多帮助。感谢实习单位给我这个机会，让我接触到了真实的安全项目。

特别感谢我的导师，在实习期间耐心指导我，帮