软件工程互联网安全公司安全开发实习生实习报告

软件工程互联网安全公司安全开发实习生实习报告一、摘要2023年7月10日至2023年9月5日，我在一家互联网安全公司担任安全开发实习生。核心工作成果包括参与3个安全模块的代码审计，发现并提交23个高危漏洞，其中5个被列入CVE数据库。通过应用OWASPTop10风险评估框架，协助团队完成2个项目的安全加固，漏洞修复率提升40%。熟练运用BurpSuite进行渗透测试，编写自动化脚本处理日志数据，日均分析约5000条安全日志，准确率达95%。提炼出的“分阶段漏洞验证法”被团队用于后续审计流程，有效缩短了问题定位时间。二、实习内容及过程实习目的主要是想看看自己学的安全知识在真实环境下怎么用，能不能帮上忙。实习单位是家做云安全服务的公司，主要帮企业搞系统防护，技术栈挺新的，用了不少容器化和微服务的玩意儿。第2周开始接触工作，跟着师傅看他们一个SaaS平台的代码。那个系统用Java写的，接口有点老，参数校验基本靠前端，一开始真头大。花了3天时间，把核心的订单和支付模块翻了遍，用静态分析工具扫描了2遍，又自己用BurpSuite抓了1周的流量。期间发现了23个问题，主要是SQL注入、越权访问和XSS，其中5个是高危，后来都提交到漏洞平台了。有个挑战是其中一个模块的权限逻辑特别绕，改起来怕影响线上。师傅教我用“灰盒测试”的方法，先在沙箱环境复现，把所有可能的路径跑一遍。我自己又学了Python写了个小脚本来模拟用户操作，最后花了5天才把3处关键逻辑改对。这事儿让我明白，安全审计不能光看代码，得懂业务。后期参与了1个新项目上线前的安全加固，主要是帮他们做渗透测试。用OWASPZAP扫了3轮，发现了12个中危和7个低危，其中2个是配置问题，3个是代码层面的。团队最后集中花了2天时间全改了，上线后第一周没再收到新的高危告警。实习成果就是那23个漏洞，还有帮项目提前解决了几个潜在风险。最大的收获是学会了怎么把安全工具链用顺，特别是动态分析和静态分析怎么配合着用。以前觉得漏洞扫描就是点几下按钮，现在知道怎么看报告里的细节，怎么判断一个风险到底有多严重。遇到的问题有2个。一是公司内部代码审查流程有点糊弄，很多人写完就不管了，导致我花不少时间在低级错误上。二是他们给的新手培训材料太老了，有些技术栈根本没人用了。我后来就自己找最新的文档看，还跟隔壁测试组的哥们儿约着每周聊1次技术，慢慢才跟上节奏。对我职业规划影响挺大的。以前觉得做渗透测试特酷，现在发现安全开发更实在，能从源头上解决问题。准备下学期把逆向和代码审计再啃一啃，争取以后能做这个。公司要是能改进培训机制，给新人配个师傅带带，效率肯定更高。三、总结与体会这8周，从7月10号到9月5号，在公司的经历让我感觉跟学校里完全不一样。以前看漏洞扫描报告，现在知道怎么从几千条日志里找出真正的问题，这种变化挺真实的。23个漏洞的提交，包括5个CVE，不是光数字，每次看到自己发现的问题被确认，心里真挺踏实的。用OWASPTop10去评估风险，帮2个项目加固，最终漏洞修复率提高40%，这让我觉得学的东西真有用，不是白学的。实习最大的价值是让我把理论跟实践连起来了。之前觉得Bugs就是找代码错，现在明白一个漏洞从发现到修复，涉及到技术、沟通、流程好多方面。特别是那个权限绕过问题，灰盒测试+脚本辅助，折腾5天终于解决，那一刻觉得挺值。这种解决复杂问题的经验，对我以后搞开发或者安全都挺重要的。对我职业规划来说，这次经历基本定下来了，想往安全开发方向发展。以前觉得纯测试挺好，现在觉得能在代码阶段就保证安全，影响更大。接下来打算把Web安全那块再深挖一下，看能不能拿下CISSP证书，把理论知识系统化。实习里看到团队怎么用自动化工具，怎么写安全策略，这些都是我下学期要重点学的。行业里感觉容器安全、API安全越来越重要，公司那几个项目用的技术都挺新的。这次没直接接触，但看师傅们处理问题，觉得这块儿挑战挺大，机会也多。以后有机会真想往这个方向钻。心态上最大的变化是责任感。以前做实验，错了就重来；现在知道写一行代码可能影响很多人，压力确实大。但解决一个问题后的成就感也更大。抗压能力是练出来的，实习那段时间加班是常事，但效率提高了，适应得也快。从学生到准职场人，感觉就是责任感和对细节的耐心，这两点以后要一直抓着。总的来说，这段实习没白来。经验、技能、心态，都有收获。就是希望以后学校能多搞点这种真刀真枪的实习机会，少点空泛的理论。这段经历绝对是我简历上最实在的一块，也是我未来学习和求职的底气。四、致谢感谢公司提供的