CNVD证书获取规则
CNVD的申报主要包括事件型和通用型两种。
1.事件型
事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书。
2.通用型
这里我们主要介绍通用型漏洞证书获取方式,通用型证书获取方式需要满足如下几个条件:
1)中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0)
2)注册资金大于 5000万人民币或涉及党政机关、重要行业单位、科研院所、重要企事业单位
3)需要给出漏洞证明案例至少十起
4)所提交漏洞具有原创性,以及与之前没有重复
获漏洞提交流程
1)在http://www.cnvd.org.cn注册一个账号。注册账号的链接为:http://www.cnvd.org.cn/user/regist
2)通过邮箱注册并激活后,提示等待审核,并不需要等待多久
3)成功登录后修改个人信息,如果工作单位为空,默认是个人。这会影响到漏洞证明上的信息。
4)如果要上报漏洞,在”用户中心“页面选择”漏洞上报->立即上报漏洞“就会进入上报漏洞页面,上报分为事件型漏洞和通用型漏洞。
5)上报页面之中找到“基本信息->漏洞所属类型”可以区分提交事件型还是通用型。不同类型需要的信息不同,按照实际情况提交即可。
6)上报时候需要注意,黑盒方式提交漏洞需要至少十起互联网受影响案例,白盒方式则需要详细的代码审计过程或者逆向过程。
通常提交附件为“word报告+POC/EXP+待测试程序+复现操作录屏的压缩包(可以是空密码)“。
7)CNVD证书下发流程分为:一级审核、二级审核、漏洞验证、漏洞处置、三级审核、漏洞归档:
这里三级审核是CNVD对你提交漏洞进行复现的过程,也是最重要的一步,一般一审和二审都会通过,拿不拿的到证书关键就在于三级审核是否能通过,只要通过三级审核基本证书就到手了。
漏洞发掘技巧
方法1.利用空间汇测发掘漏洞
这里以fofa为例、我们可以搜索一些常见的系统可能使用的名称,比如说"管理系统"、"登录系统"、"某某平台"等等。
还可以利用组合语法如一些常见登录系统会使用到的一些js文件,css文件等去进行寻找,比如
然后找到这些系统之后,看看归属于哪个公司。判断公司归属的最好方法就是通过其技术支持来查看。
当然也有一些系统是没有这种技术支持的,这个时候我们就需要一些其他的方法去判断其归属于。有些源代码中有注释,有的进后台会发现某某公司开发的等。找到归属于哪一个公司之后的话,我们就可以利用企业信息等网站对该公司做一个资产清理,确定其注册资产。
方法2.在CNVD官网找相似
首先来到CNVD官网。
在漏洞列表处,可以看到以往发生的安全漏洞。师傅们也可以选择自己更擅长挖掘的东西来进行选择。这里以Web应用为例
可以看到其会报道某处某公司的某某系统存在某某漏洞
我们就可以利用信息查询网站去查询一下这个公司的注册资产,如果超过5000万,满足发放证书条件,那我们就可以根据这个提示去试着寻找一下这个系统。之后利用平常的测试手段,打一下CNVD官网所通报出来的系统的漏洞。
① 其实系统爆出一个漏洞在某种程度上就说明该系统的安全性较低,我们则可以对该系统进行一个详细的测试,细心一点的话,你就可收获惊喜。
② 有些系统通过测试弱口令,假如我们测试出来弱口令(eb应用系统的弱口令CNVD是不收录的),就可以进入后台再进行一个深度挖掘。
③ 假如CNVD爆出的是可以getshell的漏洞,我们可以尝试复现。假如复现成功的话,可以把源代码打包备份一份出来,进行一个黑盒加白盒的深度测试。
方法3.通过白盒审计CMS发现漏洞
这种方式就需要有一定的代码审计功底。
通过发现网站中使用的网站框架或者CMS,我们可以从GitHub或者Google等搜索引擎 拿到网站源码进行代码审计发现代码中存在的漏洞。
欢迎关注公众号“闪客未来”解锁更多内容