网络安全安全网络安全实习报告

网络安全安全网络安全实习报告一、摘要2023年7月10日至2023年8月28日，我在XX公司网络安全部门担任实习生，岗位为网络安全分析师助理。期间，参与搭建了3套漏洞扫描系统，累计扫描内部网络设备217台，发现高危漏洞12个，中危漏洞45个，均已修复。协助团队完成2次渗透测试，模拟攻击Web应用15个接口，定位并加固4处SQL注入风险点。通过实践掌握了Nessus、Metasploit等工具的高级应用，提炼出“分阶段扫描优先级排序闭环验证”的漏洞管理方法论，该流程将常规漏洞修复效率提升30%。实习中构建的自动化脚本被部门纳入知识库，用于后续重复性任务。二、实习内容及过程2023年7月10日到8月28日，我在XX公司的网络安全团队实习。单位是家做云服务安全评估的，主要帮企业看系统有没有漏洞。我的任务是辅助做漏洞扫描和渗透测试。刚开始跟着师傅学怎么用Nessus扫设备，7月15号独立负责了办公网的扫描，217台机器，花了4天出报告，发现高危漏洞12个，中危的45个，后来都给修复了。7月20号参与了个电商客户的渗透测试，他们系统用了不少API，我专门用BurpSuite抓包，发现4个SQL注入点，一个是在订单查询接口，另一个是用户登录验证没做好。当时用Metasploit试了几种payload，最后定位到的是用时间盲注的，因为响应时间明显变慢了。客户那边挺满意的，说帮他们省了不少麻烦。过程里挺难的是7月25号那次，有个旧系统扫描结果乱码，后来发现是编码问题，得用Base64解码才对。还差点把测试环境摸坏，幸好师傅及时叫停。这下明白为啥要分清测试范围了。师傅教了我怎么写Python脚本自动整理扫描报告，我那会儿手残，写了个bug，数据对不上，被他吐槽了半天。不过最后还是弄好了，效率确实高不少。公司的培训主要是师傅带着，但感觉系统性的东西少，有时候得自己查资料。比如那个API安全，他们没细讲，我就自己翻OWASP的指南。团队里大家忙起来也不太交流，这点挺浪费机会的。我觉得最大的收获是看懂了漏洞管理全流程，从扫描到修复再到验证，不是扫完就完事。以前觉得搞漏洞挺酷的，现在知道得小心多了，特别是权限控制，随便改点东西就可能出大事。这次实习让我觉得，学东西得往深处走，光会工具没用。三、总结与体会这8周，从2023年7月10日到8月28日，感觉像是从学校进了另一个世界。以前学东西，觉得会用Nessus、Metasploit就行，去了那边才懂，光会工具没用，得知道怎么用数据说话。7月15号我负责那217台设备的扫描，出报告时手心都出汗，生怕漏个高危漏洞，最后12个高危、45个中危都修复了，师傅说数据挺扎实，心里才踏实点。渗透测试那次更让我明白，搞安全得有耐心，7月20号那个电商系统，我盯着BurpSuite看了大半天，才在一个订单接口里找到SQL注入，用时间盲注试了十几条语句才成功，客户那边说帮他们堵住了几个可能被黑的点，虽然老板没当面夸，但自己心里挺高兴的。实习最大的变化是心态，以前觉得漏洞扫描挺简单，现在知道得考虑各种边界条件，比如7月25号那个旧系统乱码问题，折腾了好久才找到原因，真是让人头疼。师傅说，安全这行，得能扛得住压力，有时候改一行代码都可能出事。现在觉得，学东西得往深处走，光会工具没用，得懂原理。这次经历让我更清楚自己想干嘛了。之前觉得做安全就是搞搞渗透，现在明白，漏洞管理、风险评估这些更关键。下学期打算系统学学CISSP那套知识，顺便考个PMP，想多了解点管理层面的东西。那边虽然培训挺随性的，但实际操作里学到的东西，比学校老师讲得都实在。行业里现在挺重视云安全和API安全的，感觉这些是未来重点，公司那边的案例也多了，比如8月份有个客户问微服务权限怎么搞，这让我觉得，学东西不能只盯着课本，得跟上趟。以后要是真想干这行，得把自动化脚本、数据分析这些练扎实，不然真干不过人家。四、致谢在XX公司这8周的实习，谢谢团队收留。师傅在漏洞扫描那块给了我不少指点，特别是7月15号我独立负责办公网扫描时，好多细节都是他点醒我的。同组的同事也挺好，比如8月份