计算机科学与技术XX互联网公司网络安全报告

计算机科学与技术XX互联网公司网络安全报告一、摘要

2023年7月1日至2023年8月31日，我在XX互联网公司担任网络安全实习生，负责Web应用渗透测试与日志分析。通过测试平台共完成120个Web靶点的漏洞扫描，发现高危漏洞15个、中危漏洞32个，编写漏洞报告23份，推动6个高危漏洞被修复。应用OWASPZAP、Nessus等工具进行自动化扫描，结合手工测试识别复杂漏洞，如SQL注入（3例）、XSS（5例）。对系统日志进行抽样分析，定位并上报了12次异常登录尝试，涉及IP地域分布5个省份。提炼出“分层扫描聚焦验证持续监控”的工作方法论，将漏洞修复率提升了20%。掌握技能包括漏洞利用链构建、流量协议分析、安全配置核查，可复用脚本化检测工具覆盖了80%常见Web漏洞。

二、实习内容及过程

实习目的是把学校学的网络安全理论用上，看看实际工作是怎么流的。在2023年7月1号到8月31号那段时间，我在一家做电商平台的互联网公司实习，岗位是网络安全助理。主要是跟着师傅做Web渗透测试，还有分析系统日志。刚开始是熟悉环境，用了两周时间，弄懂了他们的测试流程和用到的工具，比如OWASPZAP和Nessus。师傅让我先从测试内部系统的靶场开始，第一个月跑了大概80个接口，发现高危漏洞有5个，像SQL注入、文件上传漏洞，还有几个SSRF，写好了报告提交上去，有4个被开发那边给修复了。

第二个月开始独立负责一部分线上系统的扫描工作，主要是电商后端接口。期间遇到个麻烦事，一个接口返回的数据太大了，用常规工具扫描特别慢，而且漏报挺多。我琢磨着能不能写个脚本来过滤一下，就学了下Python，用了requests库和正则表达式，把不必要的数据包去掉，效率确实提上来了，扫描时间从两小时缩短到半小时。这个过程中还参与了一次应急响应，帮运维排查一个疑似CC攻击的流量，看着师傅分析日志，找恶意IP，感觉挺有意思的。

实习期间发现公司有些老系统的权限控制做得不太好，有点垂直越权的风险。我整理了个报告，建议加一些检测机制，但感觉没引起太大重视，可能他们觉得成本太高。另外，他们的日志分析主要靠人工，效率不高，有时候出问题都发现不了。我对日志分析这块挺感兴趣的，回来想再学学ELK这块技术。总的来说，这次实习让我知道漏洞扫描不是点点鼠标那么简单，得懂业务，会分析，也让我意识到自己在某些方面还差得挺远，得继续学。

三、总结与体会

这八周在XX互联网公司的经历，让我对网络安全这行有了更具体的认识。实习开始时是2023年7月1号，当时觉得课本知识挺抽象的，但实际动手做起来，感觉完全不一样。我负责的那块业务主要是电商后端，跑了大概120个接口，发现高危漏洞15个，中危的32个。最让我有成就感的是定位到一个隐藏的比较深的越权问题，那需要结合业务逻辑反复试，最后通过构造特定的请求参数才找到，写报告的时候还花了不少心思解释清楚。这个过程让我明白，做安全不能光靠工具，还得懂业务，会分析。

实习中压力是有的，比如有一次扫描一个系统，数据量太大了，工具跑得慢，我就在下班后自己写了段脚本优化，最后提前完成了任务。师傅也教了我不少东西，比如怎么看流量包，怎么分析日志里的异常模式。这些经历让我感觉，做安全真的得沉得下心，还得有点钻研劲儿。对比学校的项目，实际工作对细节的要求高得多，一个参数没弄对，结果可能完全不一样。这种感觉挺真实的，不像在学校那么轻松，但也挺有成就感的。

这次实习让我更清楚自己想干什么了。我感觉自己对渗透测试和应急响应挺感兴趣的，特别是那种追着问题找答案的感觉。未来打算再深入学习一下内网渗透和漏洞挖掘，可能明年会去考个CISSP或者PMP，感觉有目标了，学习也更有动力了。行业里现在都喜欢用自动化工具，但我感觉光靠工具还不够，还得有人工分析这块，特别是对业务的理解。我觉得自己在这方面还可以继续加强，多看实际案例，多动手实践。总的来说，这次经历挺宝贵的，让我从一个学生慢慢向职场人转变，责任感确实增强了，抗压能力也锻炼了不少。

四、致谢

在XX互联网公司这八周的实习，经历挺多的，心里挺感激的。想谢谢我的导师，那段时间带得挺细心，遇到问题总能给我点点思路，不像在学校自己瞎琢磨。还有一起工作的同事，有时候技术问题讨论一下，或者生