实习笔记（一)

一.前言

在某公司实习4天了，还是写一写笔记吧，不然到时候做了啥都不知道，顺便吐槽一下，我不是很喜欢公司的氛围，可能是我自己有点安静不会去搭话吧，不过公司内部的人话好像也挺少的，感觉挺压抑的。

导师方面又严肃的很，害，东西倒是有学到一点，倒不是漏洞挖掘方面，更多的是对一些文档的操作，或者对一些常用网址账号密码的管理，以及对重要数据的保密。

不管怎么说，在眼界方面确实扩宽了不少，挖洞只是渗透测试的一小部分，还需要写报告，以及了解漏洞并给出建议。

现在在公司慢慢的趋向于管理漏洞的职位，流程大概关注云镜检测到的漏洞，再去验证漏洞，如果漏洞存在，则根据《信息安全风险发现与定级管理规范》去定级漏洞，并确定处理时间，接着用工单的形式推送给对应的负责人。

除此之外，还要留意网上一些新型的漏洞，并验证服务器上有没有存在该漏洞，可以查看服务器对应组件的版本信息，如果版本信息在影响范围内，则网上找EXP进行测试，验证漏洞存在则可上报漏洞。

最近还需要做一个公司的钓鱼邮件，感觉任务有点多，可能是我自己太菜了，导师一BB就怀疑自己，好想跳槽，想找一个有熟人的公司，谈谈心谈谈工作也好，自己一个人太闷了，和我想象中的实习不一样。

二.注意事项

1.离开电脑 > 锁屏（设置密码）
2.敏感文件 > 设置密码/加密处理
3.导师讲项目的时候可以拿笔记记下一些关键字

三.相关名词

1.工单项目：打通高危漏洞的发现、通报、修复过程。
2.腾讯洞犀web漏洞扫描： 腾讯开发的一款扫描器
3.CMDB：中文名是配置管理数据库 ，可以看主机的所有IP以及它的使用者
4.OSMS：运维管理系统，也叫堡垒机，可以用来登录其他主机，利用SSH或者FTP

四.现阶段任务

1.熟悉工单项目的整个流程（可以看工单系统的word文档，熟悉安全工单系统）：发现漏洞 > 验证漏洞 > 测试漏洞 > 推送漏洞
2.了解数广安全博客上的漏洞
3.了解 企业 | 文件管理系统的信息安全资料
4.了解钓鱼邮件的制作过程，并尝试制作钓鱼邮件
5.了解2020攻防演练弹药库上的漏洞，并注意观察公司的服务器上有没有相应漏洞存在，可以利用靶机复现来了解漏洞

五.两个linux命令

find / -name "文件或目录名"  //查看文件或目录的位置

openssl version   //查看openssl的版本信息