计算机科学与技术互联网公司网络安全工程师实习报告

计算机科学与技术互联网公司网络安全工程师实习报告一、摘要

2023年7月10日至2023年9月5日，我在XX互联网公司担任网络安全工程师实习生，负责协助团队完成系统漏洞扫描与修复工作。通过应用Nessus与OpenVAS工具，累计完成200+个Web应用及服务器系统的安全评估，发现并上报高危漏洞35个，中危漏洞78个，推动修复率达92%。在技能应用方面，熟练运用Python编写自动化脚本，提升扫描效率约40%，并参与制定内部安全基线规范，包含15条关键配置项。工作期间，采用“风险分级处置”方法论，针对不同漏洞等级制定差异化修复优先级，有效缩短了高危问题响应周期。实习成果验证了课堂学习的渗透测试理论与应急响应流程，形成的漏洞处置报告被团队采纳为后续项目安全验收标准。

二、实习内容及过程

1.实习目的

希望通过实践加深对网络安全理论的理解，掌握实际工作流程，提升动手能力，看看自己是否真的喜欢这个方向。

2.实习单位简介

我在一家做在线教育业务的互联网公司实习，技术栈主要是Java和前端框架Vue，业务系统比较复杂，用户量上千万级别，对安全要求挺高的。

3.实习内容与过程

刚开始被安排跟着导师做日常漏洞扫描和应急响应。7月15号到8月初，我主要负责用Nessus给后端API接口和前端页面跑扫描，每周产出的报告得整理出关键问题。有个项目是检查一个在线考试系统，发现它参数篡改没有做充分校验，直接用BurpSuite抓包改了分数接口，绕过验证就能修改成绩。我写了个Python脚本自动验证接口逻辑，覆盖了80%的测试用例，导师说这个方法挺有用的。8月中旬开始参与一个新项目，给内部监控系统做加固。那会儿系统频繁被内部人员误报，导致运维那边挺烦。我花了两天时间分析日志，发现是部分脚本权限设置太高导致的，调整了文件权限和告警阈值后，误报量降了60%。期间还参与了代码审计，看了几个核心模块的源码，学到了不少SQL注入防范和业务逻辑漏洞的细节。

4.实习成果与收获

完成了240个左右系统的季度扫描任务，修复跟进的漏洞中，高危占比从30%降到18%，中危从45%降到30%。自己写的扫描脚本让重复性工作节省了大概三分之一时间。最大的收获是明白安全不是做完了就完了，得持续跟进。比如有个命令注入漏洞，当时修复了，但后来发现另一个地方逻辑类似，差点又出问题。这让我意识到安全意识要时刻绷着。

5.问题与建议

遇到的挑战主要是7月底那会儿有个系统被外部攻击了，但响应流程不太顺畅。当时我负责流量分析，但发现安全团队和运维团队在信息同步上有点脱节，导致分析花了比预期多一倍时间。后来调整了沟通机制才逐步解决。我觉得公司培训可以更系统一些，比如SANS的认证或者OWASP的课程可以多组织。岗位匹配度上，我本来想多接触云安全，但实际工作更偏应用层，有时候觉得能接触到的技术深度还不够。建议可以给实习生做更明确的技能矩阵，比如第几周应该掌握什么工具。

三、总结与体会

1.实习价值闭环

这八周像把书里的理论搬到了手边。7月刚进公司时还担心白纸一张，现在能独立处理大部分常规漏洞扫描和响应，产出的报告得到了导师的肯定。记得8月20号那个考试系统漏洞，从发现到验证再到推动修复，全程参与，最后看到数据确认效果，那种成就感是之前做实验或者项目没法比的。实习让我明白，安全工作不是画饼，是实实在在的数字和责任。

2.职业规划联结

这次经历帮我排除了几个疑虑。比如之前我挺纠结是做纯渗透还是偏向运维侧，现在觉得应急响应的节奏和压力更适合我。最大的转变是意识到安全是动态对抗，没有一劳永逸。公司用的SIEM系统（安全信息和事件管理）里那些关联规则的配置，让我看到数据驱动的重要性。下学期我打算重点啃下内网渗透的系列课程，目标是在年底前拿下CISSP的P部分，这几个月暴露出的知识短板现在看得很清楚了。

3.行业趋势展望

实习期间接触到的零信任概念和SASE架构，明显感觉到大厂在往这个方向靠拢。8月底有个技术分享会，讲的是云原生环境下的安全监测，提到的一些Elasticsearch和Logpoint的应用，让我意识到工具迭代有多快。有个细节很有意思，公司给新员工发的安全手册里，已经把DNStunnel检测列为常规检查项。这提醒我，技术边界在模糊，攻防两端都在拥抱自动化和智能化，以后可能需要不断学习新的平台和协议特性。

4.心态转变与未来行动

最大的成长是心态变了。以前做实验碰壁就觉得是题目太难，现在碰到问题会想“如果是我负责这个系统，会怎么处理”。比如9月初跟进那个监控系统误报问题，开始觉得是运维配合不力，后来深入日志才发现是设计缺陷，这种反思让我少走了弯路。下阶段会刻意练习文档能力，把这次写的漏洞处置记录整理成方法论，争取能形成模板。行业里常说“安全是细节的比拼”，这几个月踩过的坑和积累的教训，比如某个脚本没做输入过滤差点触发SSRF，这些真实案例比书本都管用。

四、致谢

1.

感谢实习期间给予指导的导师，在漏洞分析思路和报告规范上给了我不少启发。

2.

谢谢团队里帮忙解答问题的同事，特别是那位负