CVE申请

最新推荐文章于 2024-07-20 18:16:44 发布
最新推荐文章于 2024-07-20 18:16:44 发布
阅读量971 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dtf_csy/article/details/111170678
版权

一、如何去申请CVE编号?

大体上分为以下两种:

第一种:找Participating CNA要CVE编号

  • Participating CNA的意思就是参与CNA,可以理解为参与CVE计划的公司或项目发起者,总之就是有产品拿出来让大家挖漏洞的,这些CNA有一个列表CNA列表,按照列表中给的联系方式和CNA厂商直接联系获取CVE
  • 邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁

第二种:找Primary CNA要CVE编号(公开披露)

##得到cve编号后,MITRE在CVE网站创建跟这些CVE编号有关的无内容的“空白”页面;漏洞状态为RESERVED。

也就是说,RESERVED(保留)状态只是说MITRE和CNAs成员收到了这个漏洞,漏洞质量或真实性是未经过验证的。

二、公开信息的CVE漏洞才是有效的

漏洞厂商公开CVE漏洞信息

  • 请求者需通过可靠渠道公开披露或与漏洞相关方分享这些CVE-ID编号漏洞信息。比如联系上面列举的CNAs列表中的厂商,他们将在其首次公开宣布你的新漏洞时包含CVE-ID编号,多数厂商会在致谢词中提及漏洞致谢者的名称

CVE官方公开CVE漏洞分析信息

  • 请求和将公开的CVE-ID编号通知METRE。METRE去掉RESERVED标识,公开漏洞详细信息,并且reference中会包含厂商的漏洞公开页面。也就是说,只有这个阶段的漏洞,才是经过验证,才是真实有效的漏洞。

ps:一些参考

如何证明是我们申请的CVE?

POC编写参考(向联想提交漏洞)

CVE漏洞编号拿到后 官方公开信息才是有效的 提报诚可贵验证价更高

dtf_csy
关注
CVE申请系列(2)——CVE申请流程
Kni9hT's Blog
01-28 2848
接上次写的(春节浪了大半个月没干活了…)这次来学习一下CVE申请流程。 上次讲到CVE编号授予机构CNA,我们要申请CVE编号,肯定是要向CNA申请申请CVE大致分为三种情况: 一、(Participating CNA)CNA是参与CVE计划的公司或者项目发起者 二、(Primary CNA)CNA是MITRE官方 三、(Distributed Weakness Filing Project...
记录一次CVE申请过程,网络安全面试真题精选
fdsgdsgdfw的博客
04-16 451
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!对方希望我更新受影响的版本,更新后需要回复对方我已经更新完。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
CVE提交流程(包含漏洞公开过程)
weixin_41308444的博客
01-30 6191
CVE提交流程(包含漏洞公开过程)
iwantacve:套哥代你申请CVE啦!~~~
05-15
iwantacve 套哥代你申请CVE啦!~~~ 其实申请CVE并没有那么复杂,套哥总结和实践了几种方法。具体可参看 1、《CVE申请的那些事》 2、《CVE申请的那些事-后记》 还可以关注套哥的微信公众号 “安全圈套” ,历史文章中有一篇 《你信么?中文也能申请CVE 》 ,可以帮助英文不好的小伙伴申请CVE编号哦。 套哥会把自己申请的和带小伙伴申请cve一并统计在这里: CVE-2018-11671:GreenCMS v2.3.0603存在CSRF漏洞可增加管理员账户 CVE-2018-11670:GreenCMS v2.3.0603存在CSRF漏洞可获取webshell CVE-2018-11559:DomainMod 4.10.0存在存储型XSS漏洞 CVE-2018-11558:DomainMod 4.10.0存在XSS漏洞 CVE-2018-11404:DomainMod
记录一次CVE申请过程
最新发布
2301_79985178的博客
07-20 1221
跟着网上的教程申请CVE,简单记录一下申请过程4位数CVE编号申请过程 - 哔哩哔哩 (bilibili.com)如果你挖到一个0day漏洞怎么获得一个CVE编号_哔哩哔哩_bilibili干货 | 记一次CVE申请之旅。
CVE申请过程
weixin_50464560的博客
07-05 4063
CVE申请的那些事在上一篇分享《安全小白面试的那些坑》中和大家提到面试的时候可以在简历中附上提交过的原创漏洞如CVE、CNVD编号等信息,以证明自己在漏洞挖掘方面的技术经验和能力。本文将和大家分享申请CVE的方法和技巧。什么是CVE对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这
CVE申请系列(1)——CVE简介
Kni9hT's Blog
01-14 2059
参考:CVE申请的那些事 1.什么是CVE CVE的全称是“Common Vulnerabilities and Exposures”,翻译成中文就是“公共漏洞和披露”。它相当于一个搜集了很多安全漏洞的漏洞库,不同的漏洞信息对应着一个不同的CVE编号,所谓申请CVE也就是申请一个CVE编号。 2.CVE授权机构CNA CNA的全称是“CVE Numbering Authority”,中文可以理解为...
干货:个人申请CVE的姿势总结.docx
07-06
提交CVE申请主要有两种方式:公开披露和向CNA(CVE Numbering Authorities,即CVE编号授权机构)成员报告。公开披露通常适用于已经公开的漏洞,而向CNA报告则更适用于先与受影响厂商沟通的情况。 - 公开披露流程...
[HACK学习呀] - 2020-11-05 记一次代码审计到申请CVE到过程1
08-03
本文以作者的一次亲身经历,分享了从代码审计到申请CVE(Common Vulnerabilities and Exposures,常见漏洞和暴露)的过程,旨在帮助初学者理解并掌握这一过程。 首先,【学习思路】部分强调了自学过程中搜索引擎和...
cvelist:通过GitHub提交CVE的试验程序
02-10
CVE自动化工作组Git试点 正在尝试使用git共享有关公共漏洞的信息。 目的不仅是要了解支持发送和接收数据的“管道连接”所需的功能,而且还要了解CVE格式需要哪些属性和元数据来支持自动化。 有关参与此试验的详细信息,请参见。 该存储库保存使用的包含的信息。 在此存储库中使用CVE信息应遵守。 存储库概述 有关每个CVE ID的信息将作为唯一文件存储在子目录中的仓库中,该文件基于年份以及ID的数字部分(截断为1,000)。 因此, 适用于CVE-2017-3000-CVE-2017-3999,而适用于CVE-2017-1002000-CVE-2017-1002999。 如果有更改,CVE团队将使用CVE列表中的信息每小时自动更新这些文件。 同步作业将在小时开始时启动,并应在5分钟内完成。 对于已填充的ID,文件包含在中显示的描述和参考。 它们还可能包含有关受影响产品和问题类型的信
CVE 官网提交流程
qq_44172732的博客
07-08 1491
CVE申请流程
申请CVE的姿势总结
weixin_50464560的博客
07-09 1538
什么是CVECVE的全称叫做“Common Vulnerabilities & Exposures”中文含义是公共漏洞和暴露。它作为披露漏洞的平台,受到国内外关注。CVE会提供编号作为漏洞对应的字符串式特征,有很多企业倾向于用多少高质量的CVE证明实力,一些工具和产品也会使用CVE作为漏洞的官方标识。一些企业关注漏洞使用CVE作为修补漏洞的索引依据。 如何去提交CVE? 目前经过总结提炼出来多种申请CVE的方法,每种方法都有利弊,请自行选择。大体上分为两种,公开披露和...
CVE的提交与Github写入技巧
weixin_48421613的博客
10-12 3304
什么是CVE CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。 CVE的官网 http://cve.mitre.org/. CVE提交地址 https://cveform.mitre.org/. CVE提交的技巧 1、在github上寻找目标找漏洞 2、在github上提交Issues 3、通过https://cveform.mitre.org/提交
CVE申请的那些事
Fly_鹏程万里
07-19 3425
什么是CVE 对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这里查找不同应用或系统的漏洞信息。当然很多安全企业或国家机构也都会引用CVE作为其漏洞库,比如美国国家漏洞...
32触发注入过程_记一次代码审计到申请CVE到过程
weixin_28715953的博客
12-21 231
0x00起因这篇文章主要是分享一下我随手提交的一个PHP低质量cve,之所以想写一下的原因是因为这段日子在我渗透技术库群中有一个朋友说到自己双非一本,但是正式工在等保横行的苏州只有4.5k,想挖cve挖不到,打ctf成绩也不是很好。我想表达的并不是他能力不够,我相信一本的学生整体学习能力是很强的。他可能只是入门晚,缺人指点。缺一个像咱HACK学习呀公众号这种学习指南。说了这么多,大家可能...
通过VulDB快速申请CVE编号记录
克格莫(有需要的私信)
06-18 1167
通过VulDB申请CVE编号
Linux系统的CVE该如何确认?学会这个方法不用慌!
运维少年
06-22 599
在维护过程中,应用系统免不了被客户做定期的漏扫,运维需要根据客户的扫描结果进行反馈是否涉及和是否能整改,本文主要针对Linux CVE漏洞进行一个基本的排查。一、什么是CVE漏洞?CVE 是 Common Vulnerabilities and Exposures 的缩写,意思是“常见漏洞披露”。它是一个由 Microso...
从代码审计到CVE申请:一次PHP安全实践分享
"分享代码审计至申请CVE全过程的学习与经验总结" 这篇文章主要是一位学员分享了从进行代码审计到成功申请CVE(Common Vulnerabilities and Exposures,常见漏洞和暴露)的过程,旨在为自学网络安全的朋友提供一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值