通俗解读CNVD证书获取条件

已于 2023-10-25 23:54:44 修改
阅读量3.5k 收藏 17
点赞数 11
文章标签: 经验分享 安全 网络
于 2023-10-25 22:05:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66842854/article/details/134043862
版权

目录

前言

一、官方手册中的CNVD证书的获取条件(黑盒)

二、事件型漏洞和通用型漏洞的区分

通用型漏洞

事件型漏洞

CNVD证书获取

三、通俗解读CNVD证书获取条件

四、整个流程

五、参考文章

总结

前言

介于互联网上的文章以介绍挖CNVD的手法偏多,而没有对获取CNVD证书的规则进行讲述,所以在此对CNVD证书获取条件进行解读。注意,我不会对类似“CNVD证书是什么”“CNVD证书有什么用”“哪些漏洞可以获取CNVD证书”“CNVD要怎么挖”之类的问题进行赘述,仅是为了用最通俗的话告诉对CNVD证书有兴趣的小伙伴们应该怎么做创作不易,若对您有帮助请评论/点赞/收藏/转发,尊重每个技术人!

一、官方手册中的CNVD证书的获取条件(黑盒)

这里我使用new bing对CNVD官方以及互联网上对CNVD证书获取条件的信息进行汇总,如下

着重讲黑盒获取CNVD证书的方式,官方手册语言精炼,但是有时候理解起来就会有歧义,所以我其进行解读

二、事件型漏洞和通用型漏洞的区分

通用型漏洞

第三方软件、应用、系统、框架对应的漏洞。如:ECShop、Discuz、PHPCMS、开源软件、安全浏览器、手机应用、路由器、开发框架、VPN系统、防火墙系统等漏洞

事件型漏洞

即非通用型漏洞,主要是指互联网上应用的一个具体漏洞。如:xx网站命令执行可被渗透、xx电商订单泄漏任意充值、xx网站应用SQL注入可导致信息泄露等

CNVD证书获取

事件型漏洞和通用型漏洞均可以获取CNVD证书,但是一般以通用型漏洞居多,事件型漏洞的硬性要求是一些政府机关或重要行业,一般只能在护网期间去挖(其他时间段没有授权,风险比较大)

三、通俗解读CNVD证书获取条件

汇总成一句话:通用十例+5000w以上企业。下面细化的讲:

“通用”:通用型0day漏洞,又称通杀漏洞、通杀0、通杀0day

“十例”:十个及以上的案例,要求3个复现案例+7个其他案例,其他案例不要求复现

“3个复现案例”:提供3个站成功利用这个漏洞的详细截图

“7个其他案例”:直接上报就行,只是不要求复现而已,但还是要准确的(即确实受到你发现的这个通杀0的影响,不能乱报)

“5000w以上企业”:一家注册资金5000万以上的公司的一个产品(软件、CMS、硬件设备等)

四、整个流程

(通用型,黑盒)挖一家5000w以上企业的一个产品的0day漏洞-->漏洞影响使用这个产品的超10个站(截3个站利用成功的图,其他的直接上报就行)-->提交审核-->获取cnvd证书

五、参考文章

提交漏洞-事件型漏洞和通用型漏洞的区分 - rab3it - 博客园 (cnblogs.com)

总结

唯热爱永垂不朽!

及辞
关注
  • 11
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
【愚公系列】2023年06月 网络安全高级班 083.CNVD原创漏洞证书(漏洞提交流程与通报示例)
时光隧道
06-02 9390
漏洞证书包括漏洞的标题、描述、漏洞的风险评估、影响范围、解决方案和参考等信息。对于收到的漏洞报告,CNVD会进行审核和评估,并根据漏洞的危害程度和影响范围,给出相应的处理建议。对于已经发布的漏洞证书CNVD会在后续对漏洞修复的情况进行监控和跟踪,以确保相关漏洞得到及时、有效的解决。漏洞详情通常包括漏洞名称、漏洞类型(弱口令、未授权、信息泄露、命令执行…漏洞附件也是必填项,需要将漏洞名称、漏洞复现过程完整写入Word文档并提交。漏洞附件内容:单位或高校或厂商名称、漏洞描述、漏洞链接、复现过程、操作截图等。
通用型CNVD证书挖掘过程记录
m0_56214376的博客
03-02 806
cnvd证书获取
0day和cnvd证书
m0_56214376的博客
03-02 472
0day和cnvd证书
记录一次cnvd事件型证书漏洞挖掘
蚁景网安学院
05-28 1165
事件起因是因为要搞毕设了,在为这个苦恼,突然负责毕设的老师说得到cnvd下发的证书结合你的漏洞挖掘的过程是可以当成毕设的,当时又学习了一段时间的web渗透方面的知识,于是踏上了废寝忘食的cnvd证书漏洞挖掘的日子。
CNVD证书获得及要求
热门推荐
qq_45414878的博客
05-22 3万+
CNVD证书获得及要求前言:CNVD证书简介要求挖掘思路定位目标搜索案例漏洞类型证书展示文件上传逻辑漏洞弱口令ps: 前言: 4月份利用闲时时间对学校资产进行了一波渗透测试,发现蛮多的漏洞,这其中就发现了这次证书的漏洞厂商,前不久证书也下来了,再加上有时间就对这次收获做一次总结。 CNVD证书 简介 国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国
怎样获得CNVD原创漏洞证书
qq_33163046的博客
03-04 2616
以上是我获取原创漏洞证书的过程。供大家参考,希望安全从业人员都能过上美好的生活。
快速获得CNVD证书
weixin_51725318的博客
05-26 2793
快速获得CNVD证书
SRC——cnvd
qi_SJQ_的博客
02-25 2417
1.cnvd证书: 申请条件是需要波及影响到的系统/url等等至少100个资产,通用性漏洞! 一般也就分三类:开源系统、闭源系统、售卖系统,后两个有些类似。 2.发现寻找: 善用资产搜索引擎搜索,看某套系统是否涉及到足够多的资产,能否达到100个。 js爆破:https://blog.csdn.net/weixin_40418457/article/details/116451794 3.难度: java难度最大,python比较少,再然后php、aspx(反编译)、.net等。 ...
看大佬们都是如何获得cnvd原创漏洞证书
Y525698136的博客
06-12 2817
最近不少粉丝都在问关于怎么拿cnvd证书,之前也零散的分享过学员们的一些经验 今天带你们看看大佬是如何拿到cnvd原创漏洞证书
渗透测试挖掘漏洞获取CNVD证书经验分享
08-21
渗透测试挖掘漏洞获取CNVD证书经验分享 一、CNVD证书简介 CNVD证书是国家信息安全漏洞共享平台(China National Vulnerability Database)颁发的证书,证明了渗透测试员的原创性贡献。该证书是对白帽子原创性...
CNVD出报告专用和42常见的的漏洞模板
最新发布
06-02
CNVD(China National Vulnerability Database)是中国国家信息安全漏洞库,它是我国网络安全防护的重要资源,用于收集、整理、验证、发布网络安全漏洞信息。这份名为“CNVD出报告专用和42常见的漏洞模板”的压缩包...
python爬取cnvd漏洞库信息的实例
09-19
本文将介绍一个使用Python爬取中国国家信息安全漏洞库(CNVD)工控漏洞信息的实例,帮助你理解如何处理反爬虫策略并有效地抓取网页数据。 首先,我们需要了解目标网站的结构。在这个例子中,CNVD的工控漏洞库...
cnvd出报告专用.docx
06-19
文件内容:包含cnvd的各种漏洞详情——危害——修复建议;直接复制—粘贴即可完成报告;即可用于写渗透测试报告,也可提交各种src
【官方】CNVD成员单位申请材料模板
06-12
CNVD,全称为“中国国家信息安全漏洞库”(China National Vulnerability Database),是中国网络安全应急响应体系中的重要组成部分,由国家互联网应急中心(CNCERT/CC)负责运行维护。CNVD的主要职责是收集、整理、...
如何拿下CNVD原创证书
红队是青春
05-26 1万+
# 如何拿下CNVD原创证书 看见别人拿,我一个大二生,也想来几发,虽然我已经入职,但我也有虚荣心,于是我尝试了很久,最后发现原来获得CNVD原创证书,如此容易! 今年是2021年,我从5月份就开始对CNVD证书下手了,一开始我是往大厂商方向走,发现自己压根没那水平挖,因为一般来说,大厂商网站一般会有三层防护——CDN->DDOS->WAF,得过了这三层防护才能进行一个很舒服的信息收集,不然一不小心就被ban了,所以一开始最好从小厂商入手,先打点漏洞编号,想拿下CNVD原创证书,我们必须得.
【漏洞挖掘】挖掘CNVD证书
信安是不可或缺的一部分!
01-06 3291
国家信息安全漏洞共享平台(简称CNVD),对于白帽子来说,挖掘的漏洞提交后会有一定的奖励,如积分可以兑换京东卡,这里介绍的是如何挖掘cnvd证书证书条件如下。
从一个信息泄露获取多本cnvd证书的过程
蚁景网安学院
11-11 5159
前言个人在无事的时候喜欢逛cnvd官网,查看最近出的一些漏洞,以及去尝试挖掘,在此过程中让自己的能力提升,运气好的情况下说不定还能获取证书(小小的想法,嘿嘿)。 寻找目标?又和往常一...
小白如何获取CNVD事件型原创漏洞证明?——记CNVD漏洞挖掘思路
黑战士的博客
08-03 3098
证书就不在这里放了,写本文的初心也是为了帮助更多想要获取CNVD证书而不知如何行动的小伙伴而写,因为网上的教程良莠不齐,我尽量用通俗易懂的语言教会大家,其中不妨掺杂着一些幽默成分,在看完本文或许会对你有所帮助,或许很多人看到这篇文章是因为消息推送,亦或是想要拿到CNVD证书,给自己以后铺路……像这种CNVD要把你送进去的案例也就不要再测了。总的来说爆洞的几率不小,CNVD审核也都很给力,发邮件的话1-2天内回复,审核速度也不慢(事件型)。实测这种方法能拿到的漏洞还是不少的,不过也会有这种情况……
cnvd_test
S1xGod的博客
03-01 128
cnvd_test
Java 获取cnvd漏洞
09-14
根据CNVD官网提供的API,可以使用Java编程语言获取CNVD漏洞信息。以下是获取最新漏洞列表的示例代码: ```java import java.io.BufferedReader; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.URL; public class CNVD { public static void main(String[] args) throws Exception { String url = "http://www.cnvd.org.cn/web/vulnerability/queryLds.tag"; URL obj = new URL(url); HttpURLConnection con = (HttpURLConnection) obj.openConnection(); // 设置请求方法 con.setRequestMethod("GET"); // 添加请求头 con.setRequestProperty("User-Agent", "Mozilla/5.0"); // 发送GET请求 int responseCode = con.getResponseCode(); // 输出响应结果 BufferedReader in = new BufferedReader(new InputStreamReader(con.getInputStream())); String inputLine; StringBuffer response = new StringBuffer(); while ((inputLine = in.readLine()) != null) { response.append(inputLine); } in.close(); // 打印结果 System.out.println(response.toString()); } } ``` 该代码会向CNVD官网发送GET请求,并打印响应结果,包含最新漏洞列表信息。需要注意的是,该代码需要在网络环境下运行。同时,CNVD官网可能会对频繁请求进行限制,开发者需要注意不要过度请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

及辞

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值