个人报CNVD和CNNVD披露漏洞教程

教IT的小强

已于 2024-01-06 11:52:18 修改

阅读量2.7k

点赞数

文章标签：安全网络 web安全

于 2023-09-12 18:30:00 首次发布

本文链接：https://blog.csdn.net/m0_59598029/article/details/132830169

版权

简介

随着越来越多关注漏洞披露对于企业和应用所带来的影响，通过国内平台披露漏洞也越来越受到关注。不同平台上披露漏洞的流程有所不同，刚好借此机会进行总结。

CNVD披露流程

1、需要在www.cnnvd.org.cn注册一个账号。注册账号的链接为：www.cnvd.org.cn/user/regist
，注册时别忘记阅读上报须知www.cnvd.org.cn/sbxz。
如例图所示，填写详细的信息。
注册填写图例
2、登录的链接为www.cnvd.org.cn/user/login，登录窗口填写刚才注册的用户名和密码即可登录成功。
如图所示。
登录时截图
3、成功登录后记得先修改个人信息，如果工作单位为空，默认是个人。这个会影响到漏洞证明上的信息。
如图所示。

4、如果要上报漏洞选择漏洞上报->立即上报漏洞会进入上报漏洞页面，上报分为事件型漏洞和通用型漏洞。
如图所示。
进入上报页面
5、上报页面之中找到基本信息->漏洞所属类型可以区分提交事件型还是通用型。不同类型需要的信息不同，按照实际情况提交即可。
如图所示。
上报选择类型
6、上报时候需要注意，黑盒方式提交漏洞需要至少十个互联网之中受影响案例，白盒方式则需要详细的代码审计过程或者逆向过程。通常提交附件为
word报告+POC/EXP+待测试程序+复现操作录屏的压缩包(我一般是空密码)。

获得证明的标准如下：

通用型
中危及中危以上的通用性漏洞（CVSS2.0基准评分超过4.0）软件开发商注册资金大于等于5000万人民币或者涉及党政机关、重要行业单位、科研院所、重要企事业单位（如：中央国有大型企业、部委直属事业单位等）的高危事件型漏洞通用型漏洞得十个网络案例以上
事件型
事件型漏洞必须是三大运营商（移动、联通、电信）的中高危漏洞，或者党政机关、重要行业单位、科研院所、重要企事业单位（如：中央国有大型企业、部委直属事业单位等）的高危事件型漏洞才会颁发原创漏洞证书

CNNVD披露流程

1、CNNVD 提交漏洞之前需要准备一个邮箱，邮箱可以为企业邮箱或者个人邮箱。通过电子邮箱 vulpro@itsec.gov.cn
接收漏洞，如有相关问题，请联系：010-82341115。漏洞上报则需要先阅读http://www.cnnvd.org.cn/web/wz/tzdym.tag?sign=addvulnerability。
2、需要注重邮件的格式，格式如下：
提交漏洞时，建议邮件遵循以下格式：
邮件主题为漏洞名称（如：XX产品XX漏洞）；
邮件内容包含“漏洞报送单位+提交人员姓名+联系电话”；
其他内容如所提交信息如有保密、隐私等特殊要求，应在提交时说明；
常用的邮件模板：
title: Weblogic 12 产品反序列化漏洞
邮件内容：XXX公司+张三+188XXXXXXXX 特殊要求：无
3、提交通用型漏洞验证录像和POC，辅助漏洞处置工作。一定要按照标准压缩格式提交邮件附件，标准格式附件样例：
通用型漏洞标准压缩格式下载
 事件型漏洞标准压缩格式下载
4、提交漏洞后,CNNVD将会在1个工作日内予以确认回复，如未收到漏洞提交成功的回执邮件,请您重新提交或与CNNVD联系。

将会在1个工作日内予以确认回复，如未收到漏洞提交成功的回执邮件,请您重新提交或与CNNVD联系。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。