软件工程与信息安全软件科技公司信息安全工程师实习报告

软件工程与信息安全软件科技公司信息安全工程师实习报告一、摘要2023年7月1日至2023年8月31日，我在一家软件工程与信息安全软件科技公司担任信息安全工程师实习生。核心工作成果包括协助完成3个系统的漏洞扫描，累计发现并修复23个高危漏洞，其中5个涉及跨站脚本攻击（XSS），2个为SQL注入风险。参与设计并实施了一套基于OAuth2.0的API安全认证方案，覆盖了15个对外接口，通过引入JWT令牌机制，将未授权访问率降低了67%。在实习中应用了OWASPTop10风险评估模型，结合BurpSuite进行渗透测试，验证了所采用的安全策略有效性。提炼出的可复用方法论包括自动化脚本编写（Python）用于日志审计分析，以及构建安全基线配置模板，为后续项目提供了标准化参考。二、实习内容及过程1实习目的去7月1号开始那会儿，心里头就琢磨着，得去真实环境里摸摸门道，看看学校里学的那些东西，比如网络攻防、代码审计，到底怎么落地。就想通过实习，真正参与个项目，把理论知识和实际操作给结合起来，顺便感受下企业里信息安全工程师是咋工作的。2实习单位简介那家公司是做安全产品的，主要搞云安全这块，客户以互联网公司为主。技术栈挺前沿的，常用到Elasticsearch做日志分析，还有各种容器化部署，整体氛围挺拼，但技术氛围也浓。3实习内容与过程初期跟着师傅熟悉环境，用了两周时间把公司的几个核心系统跑了一遍，主要是看它们的架构设计，特别是认证授权这块。记得有个项目是做微服务集成的，各个子服务之间用JWT传递token，但初始版本没做刷新token，导致会话管理特别麻烦。我就提了个建议，后来他们采纳了，弄了个基于Redis的token存储方案，有效期设了5分钟，每次请求都先去Redis里校验，这样重放攻击的风险直接降了一大半。接下来参与了个应急响应的小项目，7月20号到8月初，帮一个客户处理过一次DDoS攻击。对方用的是UDPFlood，流量峰值冲到300Gbps，把客户的CDN给拖垮了。我们这边主要是配合运营商清洗流量，同时把客户的业务流量先切到备用线路。过程中我负责分析攻击流量特征，用Wireshark抓包，结合Zeek（以前叫Bro）的日志，发现攻击源主要集中在中亚那块，后来通过BGP查询，定位到是几个小型VPS被黑了，但对方反追踪做得挺溜，最后只能暂时封IP。这次经历让我对DDoS防护的理解更深了，知道光靠CDN不行，还得结合源站加固和威胁情报。后半段主要在搞漏洞扫描和渗透测试，覆盖了公司内部3个新上线的产品。7月25号开始，用Nessus对其中一个SaaS平台做扫描，发现23个高危漏洞，其中5个是XSS，2个是SQL注入。当时产品经理挺急的，因为马上要给客户交付了。我就加班加点，先复现了XSS，发现是没对用户输入做过滤，赶紧给前端推了个正则替换的补丁。SQL注入那两个比较绕，一个在参数化查询上留了后门，另一个是拼接语句写错了，花了3天时间才定位。修复完之后，又用BurpSuite自己再打了遍，确认没问题才提交测试。还参与过一次代码审计，8月10号左右，审计的是个内部使用的运维工具。发现一个越权问题，权限控制写反了，高权限用户能去操作低权限用户的配置文件。直接跟开发提了PR，开发那边当天就改了，沟通效率挺高。4实习成果与收获整个实习期间，主导完成了3个系统的漏洞扫描和修复工作，提交的23个高危漏洞，最终都得到了验证和修复。设计的Redis缓存JWT方案被采用，客户反馈会话超时问题减少了80%。最让我有成就感的是DDoS应急响应那次，虽然没能直接抓到攻击者，但通过分析流量特征，帮客户把损失降到了最低。收获最大的还是实战经验，以前觉得OAuth2.0就是个协议，来了之后才知道怎么跟token服务、资源服务器对接，怎么用JWS做签名。现在再看代码，能更快地发现潜在风险点。5问题与建议那段时间确实挺忙的，但有时候感觉项目进度安排得有点赶，测试和运维那边催得紧，开发这边压力就特别大。有时候需求变更也突然，导致测试用例临时得跟着改，有点混乱。我觉得如果能把需求评审再提前点，让测试早点介入，情况可能会好点。另外，公司内部的安全工具文档不太全，有些脚本注释写得也少，新来的同事上手比较费劲。建议可以搞个Wiki，统一归档一下，顺便配点实操视频。还有，培训这块，虽然给了几份内部文档，但更缺少实战演练的机会，要是能多组织几次红蓝对抗，肯定成长更快。三、总结与体会1实习价值闭环这8周，从7月1号到8月31号，感觉就像把过去两年半学的知识，真金白银地用了一次。刚去的时候挺懵的，面对实际项目完全没底，尤其是看到那些生产环境代码，注释写得少的，逻辑又复杂的，头都大了。但好在没过多久，就参与了那个JWT方案的设计，虽然只是个小模块，但想到能帮客户解决会话管理问题，心里挺踏实的。后来独立负责漏洞扫描那段时间，每天对着Nessus的报告，一个个去复现、验证，修复后用BurpSuite再扫一遍，确认没漏，那种成就感现在还记得。8月30号收到转正offer的时候，突然觉得这几个月没白费，原来真把知识用对了，是能创造价值的。2职业规划联结这段经历直接改变了我对职业路径的思考。以前觉得信息安全工程师就是搞搞漏洞，打打靶。现在清楚，一个优秀的安全工程师得懂业务，还得懂开发，甚至懂运维。比如7月25号那次漏洞扫描，发现那个SQL注入，不是单纯知道语法，而是要理解业务逻辑，知道攻击者怎么利用这个漏洞拿到数据。这让我意识到，后续学习不能再只啃理论了，得加强实践，特别是对云原生、微服务架构安全这块得多下功夫。公司用的Elasticsearch做日志分析那会儿，我还挺羡慕的，觉得这要是我会用，搞安全监控肯定更溜。现在琢磨着，下学期就把那套官方文档啃了，争取把技能树再补齐几块。而且，这次实习也坚定了我走渗透测试这条线的想法，虽然过程挺熬人，但解决难题后的那种兴奋感，比单纯看书强太多了。3行业趋势展望在那家公司待着，能明显感觉到行业几个大方向。7月底的时候，正好有个项目在搞零信任架构的试点，用JustInTime的原理，用户每次访问都做严格认证，权限按需授予。师傅给我讲，这可能是未来几年的大势所趋，能从根本上解决内部威胁问题。还有那个DDoS事件，虽然最后没抓到黑产，但过程中用到的流量分析、BGP查询、协同运营商清流的方法，都是标准流程。但师傅说，现在更高级的攻击，比如利用AI生成蜜罐诱饵，或者用Botnet分布式发起应用层攻击，技术对抗的速度在加快。这让我觉得，安全这行，真的得持续学习，不然很快就会跟不上节奏。8月最后那几天，公司内部在讨论如何把SASE（安全访问服务边缘）落地，感觉这也是个大机会，把网络和安全服务融合起来，用户访问更灵活，安全管控也更智能。虽然我实习就结束了，但心里头已经有谱了，打算明年就把CISS