通用型CNVD证书挖掘过程记录

最新推荐文章于 2024-06-03 11:56:56 发布
最新推荐文章于 2024-06-03 11:56:56 发布
阅读量806 收藏 5
点赞数 5
文章标签: 安全 web安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56214376/article/details/136413061
版权

Translator

这次记录仅针对纯小白写的,我也是小白开始,一点一点自己摸索,从0到1的过程还是很难啊.

   废话不多说,我写的这个通用cnvd获取方法,算是最简单了,我看了很多文字,JS审计的,代码审计的五花八门,但是那些不太适合刚入门的小白,接下来跟着我的思路走。

cnvd通用证书获取条件:

一、.中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0),

二、注册资金大于 5000万人民币或涉及党政机关、重要行业单位、科研院所、重要企事业单位,

三、互联网案例数量超过 10个

总结:小白只要知道,找资产5000万的单位,互联网上同样的漏洞有10个以上IP,提交报告只要复现三个,剩下的七个只需要提供网站就行,简单吧。

第一步、开始找5000万的单位,高级搜索里面挑你喜欢的和喜欢你的(这个爱企业查上看一下,有钱的花个几块钱能下载的多一下,没钱的一个一个点一下找找)

ps:在更多筛选里面把著作权那俩勾上,选择有。(够细步)

第二步、找个你喜欢的企业,查看他有那些系统,软件等

然后再用免费的https://fofa.info/开始搜索你要找的系统

小白主打一个白浅嫖,能用到的也就这三,基本也够了。看到够10个网站是一样的,你就可以“干”它了。

body="***" && country="CN"

title="****" && country="CN"

body="***" && title="****" && country="CN"

第四,就可以开始挖掘漏洞了,漏洞咋挖呢?

前菜差不多了,开始正餐,

cnvd证书获取

挖洞是个“熬时间”、“心细”的活,他看的是你的思维扩散,只要你能想到就去试,系统也是人开发的,谁知道你弄的这个站,是不是也有小白写的一部分?

拿到要“弄”的网站,开始收集信息,小白也不用多,你就试一下若口令、目录遍历、前台的sql注入,有注册的试试越越权等你精通的东西。

现在看我如何获取cnvd通用漏洞:

那到网站目录遍历发现403?

那就是还有东西啊,继续发现铭感信息泄露,(码打的厚了亿点)

发现了用户密码,直接登录一下,(码打的厚了亿点)

ps:如果以上这种提了,就是个中漏洞证书,在看一下,弄一个高的好看点。

找了半天,XSS不敢弄、文件上传不敢弄、TMD,sql注入总没事把!

被鱼吃的小虾米
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【愚公系列】2023年06月 网络安全高级班 084.CNVD原创漏洞证书挖掘思路)
时光隧道
06-02 7952
CNVD原创漏洞证书挖掘步骤:搜集信息:收集相关网站、应用程序、操作系统等的漏洞信息,包括CVE编号、漏洞类型、危害程度等。端口扫描:通过端口扫描工具扫描目标IP地址,找到开放的端口和服务,确定需要测试的应用程序和系统。漏洞验证:使用漏洞验证工具或手工验证漏洞,确认漏洞存在性和危害程度。漏洞利用:针对已验证的漏洞进行攻击测试,确认漏洞的可利用性和危害程度。报告编写:根据漏洞测试结果,编写漏洞报告,包括漏洞描述、漏洞影响、漏洞利用方式、漏洞修复建议等。
【官方】CNVD成员单位申请材料模板
06-12
CNVD,全称为“中国国家信息安全漏洞库”(China National Vulnerability Database),...通过这一过程,单位可以得到CNVD的专业指导,提高自身的安全防护能力,同时也有机会与其他业界领先的安全机构进行交流与合作。
渗透测试挖掘漏洞获取CNVD证书的经验分享
08-21
渗透测试挖掘漏洞获取CNVD证书的经验分享
通俗解读CNVD证书获取条件
Jici_Zeroten的博客
10-25 3547
介于互联网上的文章以介绍挖CNVD的手法偏多,而没有对获取CNVD证书的规则进行讲述,所以在此对CNVD证书获取条件进行解读。注意,我不会对类似“CNVD证书是什么”“CNVD证书有什么用”“哪些漏洞可以获取CNVD证书”之类的问题进行介绍,仅是为了用最通俗的话告诉对CNVD证书有兴趣的小伙伴们应该怎么做。尊重每个技术人!唯热爱永垂不朽!
新手如何通过挖漏洞赚钱,看这篇就够了!!!
最新发布
jennycisp的博客
06-03 867
在这段时间里,我参与了多个实际项目的规划和实施,成功防范了各种网络攻击和漏洞利用,提高了互联网安全防护水平。接下来我将完整的讲述漏洞挖掘过程中所有的细节,干货满满,内容有点长,记得点赞收藏!漏洞挖掘****的流程一般可以概括为以下几个步骤:漏洞去哪挖?SRC即各个公司,厂商创建的漏洞安全响应中心。每家SRC都有着自己的漏洞收取范围以及漏洞收取标准。我这里给大家搜集整理了互联网公司常见的SRC平台。 挖漏洞前期的准备工作 一些在线的搜索引擎网站: (一)资产测绘引擎fofa资产测绘引擎:https://fof
【漏洞挖掘挖掘CNVD证书
信安是不可或缺的一部分!
01-06 3291
国家信息安全漏洞共享平台(简称CNVD),对于白帽子来说,挖掘的漏洞提交后会有一定的奖励,如积分可以兑换京东卡,这里介绍的是如何挖掘cnvd证书证书的条件如下。
怎样获得CNVD原创漏洞证书
qq_33163046的博客
03-04 2619
以上是我获取原创漏洞证书过程。供大家参考,希望安全从业人员都能过上美好的生活。
cnvd挖掘
qq_45322343的博客
11-09 433
事件型事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书通用型中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0)软件开发商注册资金大于等于5000万人民币或者涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞通用型漏洞得十个网络案例以上**
记录一次cnvd挖掘过程
YJ_12340的博客
10-16 2924
曾经的我,以为挖掘cnvd是一个非常遥不可及的事情,注册资产5000万黑盒10案例(目前还不会代码审计吖,后续会努力学习吖!)这个门槛就已经难住我了(脚本小子的自述)。
cnvd通用型漏洞挖掘小知识(1)
热门推荐
qq_52074678的博客
03-17 1万+
一。什么是通用型漏洞 1.通用型漏洞指某个系统,软件,应用等对应的漏洞 比如TP的命令执行,dz的SQL注入等等,cnvd漏洞列表展示出来的都是通用型漏洞 归档漏洞证书颁发条件:(1)对于中危及中危以上通用型漏洞(CVSS2.0基准评分超过4.0分) (除小厂商的产品,非重要APP,黑盒测试案例不满10例等不颁发证书)(注:大厂商的判断标准为(注册资金5000万以上,或者案例涉及省部级以上单位的)) Tips:通用型漏洞需要提供互联网案例或者是本地代码审计证明其通用性(包括跟进函数和调试代码过程),如果
记第一挖掘CNVD通用(无证书
da_chuan_chuan的博客
01-13 4198
文章目录前言一、CNVD通用挖掘过程二、公益SRC100+总结 前言 本文主要分享自己第一次挖掘通用型漏洞的经历,漏洞是2021年挖掘到的,由于自己比较懒惰现在才来记录。主要是想记录自己第一次挖掘到通用的喜悦之情。自己挖掘思路比较low,各位大佬看到了,勿喷。 一、CNVD通用挖掘过程 本次通用型挖掘并没有进行代码审计,主要是运气好,在一次盲注中发现。当时自己在批量提交公益SRC,想混混排名(但是一直上不去,还是太懒惰,以后挖洞要勤快一点儿了),发现有两三个站点的内容布局大致相似,自己判断是属于同一个
CNVD通用性漏洞挖掘小知识之灰盒测试
qq_52074678的博客
03-17 5566
CNVD漏洞黑盒挖掘CNVD原创漏洞积分与奖励(京东卡) 三漏洞挖掘之后如何提交以及总结 360quake: https://quake.360.cn/quake/#/index Fofa: https//fofa.so/ Zoomeye:https://www.zoomeye.org/ 使用网络空间搜索引擎fofa,zoomeye,360quake,结合天眼查查资产进行搜索 黑盒挖掘通用型漏洞 (1)关键字搜索 天眼查查注册资金 (2) (3)cnvd查找已知漏洞厂商 百度找相
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
CNVD出报告专用和42常见的的漏洞模板
06-02
CNVD(China National Vulnerability Database)是中国国家信息安全漏洞库,它是我国网络安全防护的重要资源,用于收集、整理、验证、发布网络安全漏洞信息。这份名为“CNVD出报告专用和42常见的漏洞模板”的压缩包...
cnvd出报告专用.docx
06-19
文件内容:包含cnvd的各种漏洞详情——危害——修复建议;直接复制—粘贴即可完成报告;即可用于写渗透测试报告,也可提交各种src
记一次CNVD证书挖掘
Willard_King的博客
06-30 786
了解了JWT token是如何构成的之后,我就想着,我是否可以自行构建一个token,从而绕过登录,直接进入后台呢,但是想要生成一个JWT token,密钥部分是必不可少的。这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串(头部在前),然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。随后我编写了一个nuclei脚本(脚本在文章末尾),尝试用这个token去访问所有我能获取到的nacos站点后台,均能成功。
漏洞挖掘分析_审计挖掘CNVD通用漏洞_手把手教白客记录
程序员三九的博客
05-14 951
前言本次内容对cnvd通用漏洞库中的进行一个代码审计和漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究
如何挖到人生当中第一本CNVD
Ambition_sec的博客
11-15 4854
最近有很多小伙伴问我,也在催我更新,不是哥们不想更,实在是不知道更啥,加上这段事件在打ctf实战方向比较少见,更是没有什么东西可以拿得出手啊。
CNVD证书经验分享
2302_76672693的博客
06-14 1022
CNVD证书经验分享
Java 获取cnvd漏洞
09-14
根据CNVD官网提供的API,可以使用Java编程语言获取CNVD漏洞信息。以下是获取最新漏洞列表的示例代码: ```java import java.io.BufferedReader; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.URL; public class CNVD { public static void main(String[] args) throws Exception { String url = "http://www.cnvd.org.cn/web/vulnerability/queryLds.tag"; URL obj = new URL(url); HttpURLConnection con = (HttpURLConnection) obj.openConnection(); // 设置请求方法 con.setRequestMethod("GET"); // 添加请求头 con.setRequestProperty("User-Agent", "Mozilla/5.0"); // 发送GET请求 int responseCode = con.getResponseCode(); // 输出响应结果 BufferedReader in = new BufferedReader(new InputStreamReader(con.getInputStream())); String inputLine; StringBuffer response = new StringBuffer(); while ((inputLine = in.readLine()) != null) { response.append(inputLine); } in.close(); // 打印结果 System.out.println(response.toString()); } } ``` 该代码会向CNVD官网发送GET请求,并打印响应结果,包含最新漏洞列表信息。需要注意的是,该代码需要在网络环境下运行。同时,CNVD官网可能会对频繁请求进行限制,开发者需要注意不要过度请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值