互联网XX科技公司网络安全实习报告

互联网XX科技公司网络安全实习报告一、摘要

2023年7月1日至2023年8月31日，我在互联网XX科技公司担任网络安全实习生，负责协助团队完成内部系统漏洞扫描与修复。通过使用Nessus和BurpSuite等工具，累计完成300+个端口的漏洞检测，发现高危漏洞12项，中危漏洞45项，并参与制定漏洞修复优先级清单。在导师指导下，将OWASPTop10安全标准应用于实际测试，优化了3个关键业务系统的跨站脚本（XSS）防护机制。实习期间，熟练掌握了漏洞管理流程，运用Metasploit进行渗透测试验证，并撰写了5份详细的安全评估报告，其中包含具体技术参数与修复建议。这些实践加深了对网络安全攻防技术的理解，形成的漏洞分级处理流程可应用于同类项目。

二、实习内容及过程

1.实习目的

希望通过实践了解网络安全在真实企业环境中的应用，掌握漏洞管理和渗透测试的基本流程，提升动手能力。

2.实习单位简介

我实习的公司是一家规模中等的互联网企业，业务涉及电商和在线服务，技术栈以Java和Node.js为主，内部系统较多，安全需求比较复杂。

3.实习内容与过程

第12周主要是熟悉环境和基础工具，跟着导师学习Nessus的使用，参与了几次内部系统的例行扫描，了解了漏洞的评级标准。比如7月5日完成的第一次扫描任务，负责的是1个后端API的测试，用Nessus发现5个中危和1个高危问题，高危的是SSRF（服务器端请求伪造），当时不太确定怎么验证，导师演示了通过Metasploit构造请求包，直接回显了内部数据库信息，这让我印象挺深。

第35周开始独立负责几个小程序的渗透测试，重点是Web应用安全。用BurpSuite抓包分析，发现1个SQL注入和2个XSS（跨站脚本攻击）。SQL注入是在一个查询接口上复现的，参数没做过滤，直接把'or'1'='1注入进去，返回了后台数据。我花了2天时间优化了测试脚本，把不同类型的payload都跑了一遍，最后提交了修复建议，测试通过后导师夸了句脚本写得挺全。

第68周参与了1个新上线的业务系统的安全验收，主要是帮测试团队做收尾验证。系统用到了OAuth2.0授权，我在模拟攻击时发现了一个OpenIDConnect参数篡改的问题，虽然影响范围有限，但及时上报了，开发那边当天就修复了。期间还整理了漏洞报告模板，把之前写的5份报告发给导师看，他提了几个细节问题，比如风险描述不够具体，我就重新加了攻击链和业务影响分析。

4.具体挑战与解决

第1个困难是刚开始看漏洞报告时懵懵懂懂，很多专业术语不熟悉，比如“权限提升”“命令注入”具体怎么表现，导师就给我发了一些实际案例的截图，让我对照着学。后来自己也开始做笔记，把Nessus里的CVSS（通用漏洞评分系统）分数和实际危害对应起来。第2个是测试一个使用了复杂权限控制的系统时，发现边界条件漏了，比如某个接口在特定角色下会暴露敏感数据。为了查清楚，我直接问了开发那边的技术文档，最后定位到是逻辑判断没覆盖全，他们加了个拦截语句才解决。

5.实习成果与收获

总共负责了8个系统的安全测试，发现高危漏洞3个，中危12个，低危38个，其中自己独立复现的有6个。提交的漏洞报告基本都被采纳，修复率100%。最大的收获是学会了怎么把理论知识落地，比如OWASPTop10怎么在实际测试中应用，还有漏洞管理从发现到修复的整个闭环。之前觉得漏洞评分就是随便填填，现在明白每个CVSS指标都要有数据支撑，比如攻击复杂度、权限要求，这些直接影响修复优先级。

6.职业规划启发

这次经历让我更想往渗透测试方向发展，但感觉这块儿技术更新太快，像SSTI（服务器端请求伪造）的变种天天有，得保持学习状态。公司这边虽然给了培训机会，但主要是内部经验分享，缺少系统性的课程，比如想学更深的内核漏洞分析，可能要自己去找资料。我建议可以多组织一些跟具体技术点相关的实战演练，比如每月搞1次CTF（夺旗赛）风格的内部攻防，对新手友好点，不用太复杂，能练到具体技能就行。

三、总结与体会

1.实习价值闭环

这8周实习让我把学校学的网络安全知识串联起来了。刚开始7月1日上手时，面对真实的业务系统和工具还是有点手忙脚乱，特别是用Nessus扫描报告里的模糊描述，不知道怎么跟开发对接。后来在导师指导下，我花了3天时间整理了一份漏洞报告模板，明确包含攻击步骤、复现截图和业务影响，像7月15日提交的1个XSS报告，开发看了直接秒修复，这让我觉得挺有价值的。从提交问题到看到被修复，整个流程跑下来，才明白学校讲的理论，比如漏洞管理、风险评估，到底是怎么在职场里落地的。

2.职业规划联结

这次经历让我更确定想往渗透测试方向发展。之前看招聘要求，觉得漏洞评分、威胁建模这些挺玄乎，实习后才知道，比如8月5日测试的1个电商系统，我根据业务场景给1个逻辑漏洞评了8.6的CVSS分数，导师说这很准，因为直接关联到订单信息泄露。现在回头看，大学里学的《Web安全编程》《密码学原理》这些课，突然就串起来了。比如学过的SQL注入原理，在7月20日测试后台接口时直接用上了。下学期打算补《逆向工程》这块短板，顺便准备个OSCP认证，感觉实习里碰到的很多问题，像命令注入、文件上传漏洞，都能在靶场里练。

3.行业趋势展望

实习中明显感觉到，现在公司对供应链安全的重视程度上来了。比如8月1日测试第三方SDK接入时，发现1个权限绕过问题，虽然不是核心系统，但导师说现在很多安全事件就是从第三方组件爆发的。另外，团队在用WAF（Web应用防火墙）的时候，也遇到很多误报漏报的情况，8月10日我参与调整规则后，误报率从15%降到5%，这说明纯靠机器学习还不够，还得懂攻防原理。感觉未来几年，安全攻防会越来越像“你进我退”的动态博弈，像零日漏洞挖掘、内核攻防这些硬核技术，肯定越来越吃香。

4.心态转变与未来行动

最深的体会是从“学知识”变成“负责任”。实习前觉得找实习就是混经验，但8周下来，哪怕只是修复1个高危漏洞，想到可能避免一场损失，就觉得得把事情做扎实。比如7月25日测试时熬夜复现1个权限提升，第二天跟开发沟通时，对方直接说“小伙子挺拼的”，这种反馈比成绩单还提气。现在离校还有1个月，我打算把实习里用的工具都再琢磨琢磨，特别是Metasploit的脚本编写，之前只是用现成模块，打算自己写几个针对常见Web漏洞的自动化脚本。感觉这8周最大的收获不是会了什么技术，而是突然明白，真要干安全这行，得有股钻研劲儿，还得能扛住压力，毕竟漏洞发现后不是写完报告就完事，还得盯着人家修复到位。

四、致谢

1.

感谢互联网XX科技公司给我这次实习机