提交cve和cnvd的区别以及申报文档所必须的内容

最新推荐文章于 2025-03-17 12:01:20 发布
最新推荐文章于 2025-03-17 12:01:20 发布
阅读量1.1k 收藏 11
点赞数 7
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74003366/article/details/139768030
版权

      前段时间提交了几个cve和cnvd,在这里总结一下两者的区别和申报cnvd时踩的一些坑。

        先说区别。虽然这两个都是关于漏洞申报的,但是两者的申报难度差别较大。cve审核会相对宽松很多,甚至你申报时不需要准备图片,只需要用文字把必要步骤写出来,证明这个漏洞存在,基本都可以申报成功。

        当然,你需要先关注你所挖掘的漏洞之前是否已经被别人发现过。所以在申报cve之前需要在cve官网搜索你要申报漏洞的产品相应的历史漏洞。这里附上链接:CVE -Search CVE List

        如果确认没有重复,那么可以在CVE - Common Vulnerabilities and Exposures (CVE)进行漏洞提交。具体步骤参考文章CVE提交流程(包含漏洞公开过程)-CSDN博客,这里就不过多赘述。需要注意的是,在你提交后cve会在几分钟之内回复一封邮件给你,在那里你可以修改自己先前提交内容的细节。

        关于cve审核时间的问题。网上普遍说是一个月,其实就个人体会并没有这么久,大概是15天左右,cve就会再次发一封邮件到你的邮箱,审核通过的话会在该邮件内容附上你的cve编号(重要),还有一段PGP密钥(重要),参考下图:

你可以通过这个cve编号和PGP密钥选择公开与否你的漏洞发现,公开地址可以选择你的GitHub仓库地址。

        cnvd的申报难度会比cve要大不少。以通用性漏洞的申报为例,下面会详细描述你申报文档中的必须内容。

1、Request数据包

无论你选择3个以上的互联网案例还是代码审计,数据包的内容是刚需。你需要把涉及证明漏洞过程的所有数据包内容复制下来,粘贴到文档里面(你可以对数据包进行截图,但不能仅仅是截图,需要把整个数据包内容复制下来!)

2、如果你选择代码审计

那么需要把造成这个漏洞的关键函数给找出来,输入payload,断点调试一遍,分析漏洞成因。至于调试具体可以参考我之前的博客:phpstorm + phpstudy 进行php项目调试和调试时超出连接时长500问题_phpstudy debug 500-CSDN博客

3、如果你选择互联网案例

找到3个以上的不同网站,输入payload证明你的漏洞(当然一般3个不够,而且每次都需要记录数据包)

        cnvd的审核速度并没有网上说的那么快!!!事件型漏洞的审核会快一点,大概需要3-5天。但是通用性漏洞的审核一般需要一个星期多。

cnvd的申报有三次审核,文档有一定的格式要求,具体请自行谷歌。

OoLs
关注
CNNVD与CVE对齐
SHELLCODE_8BIT的博客
04-12 1045
1.CVE是美国国家信息安全中心的编号,CNNVD也有一个编号 2. 3.
cve 爬虫_爬虫CNVD构建漏洞库
weixin_29089057的博客
02-06 936
import requestsfrom lxml import etreeimport xlsxwriterfrom requests.utils import add_dict_to_cookiejarimport execjsimport hashlibimport jsonimport reimport timeimport datetimedef get__jsl_clearance_s(...
CNVD、CNNVD、CICSVD、NVD、CVE区别与联系详解
诚邀网络通信领域商务合作
01-09 3万+
文章目录一、CNVD(国家信息安全漏洞共享平台)CNCERT(国家互联网应急中心)ANVA(中国反网络病毒联盟)二、CNNVD(中国国家信息安全漏洞库)CNITSEC(中国信息安全测评中心)三、CICSVD(国家工业信息安全漏洞库,工业控制产品安全漏洞专业库)CICS-CERT(国家工信安全中心) 一、CNVD(国家信息安全漏洞共享平台) 国家信息安全漏洞共享平台(CNVD,China National Vulnerability Database) 是由国家计算机网络应急技术处理协调中心(中文简称:国..
CNVD通用型漏洞挖掘思路-平台漏洞列表一眼定睛法!网络安全零基础入门到精通教程!
最新发布
Cairo_A的博客
03-17 427
有一种艺术叫做,我只需看一眼就能一眼定睛其实最有效率挖cnvd的方法是在于平台本身公布出的漏洞,因为绝对不止一个漏洞这里比如我们看web应用(其他类型都可以看看)一般我们看第一页的漏洞信息就够的了,这里我们点最新的那个KingPortal开发系统存在弱口令,很好,继续挖它重生之鹰图语法web.body=“KingPortal开发系统”专属Burp打开这里在测试弱口令中,抓到个奇怪的包放到重发器看看获得密码,信息泄露漏洞一枚!通过admin001,密码admin001成功进入。
CVE,NVD,CNVD,CNNVD的区别
顺其自然~专栏
10-13 856
CVE 的编辑部成员包括了各种各样的有关信息安全的组织,包括:安全厂商,学术界,研究机构,政府机构还有一些卓越的安全专家。(一般简称国测,国测的主管单位是Security部),是中国信息安全测评中心为切实履行漏洞分析风险评估的职能,负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。也就是同一个漏洞,在不同的组织中被命名或编号是不同的,但是他们说的是同一个漏洞。头部的安全厂商会搞自己的漏洞收集平台,也有项目形式的,比如国外的CVE,NVD国内的CNVD,CNNVD。
CVE CNVD CNNVD
akdjfhx的博客
02-27 545
CVE CNVD CNNVD
CVECNVD以及漏洞处置
luuuone的博客
06-23 1463
简要介绍cvecnvd的关联,以及日常漏洞修复的注意事项
基于scrapy,scrapy-redis,获取每日最新的CVECNVD漏洞,邮件通知.zip
08-05
基于scrapy,scrapy-redis,获取每日最新的CVECNVD漏洞,邮件通知.zip
weblogic_rce:cve2019_2725,CNVD-C-2019-48814 Weblogic _async远程命令执行exp
03-15
CNVD-C-2019-48814,CVE-2019-2725 Weblogic _async远程命令执行exp 主要代码基于js实现。 Linux Payload使用Jason,Windows Payload修改为10271,执行java.lang.Runtime。 环境需求 Windows的所有版本。 用法 cve...
cvelist:通过GitHub提交CVE的试验程序
02-10
目的不仅是要了解支持发送接收数据的“管道连接”所需的功能,而且还要了解CVE格式需要哪些属性元数据来支持自动化。 有关参与此试验的详细信息,请参见。 该存储库保存使用的包含的信息。 在此存储库中使用...
cnvdcve申请
qq_39541626的博客
11-28 1037
cnvdcve申请 https://www.freebuf.com/168362.html cve申请 https://mp.weixin.qq.com/s/N20KLLOElNi0kci7BifnOQ cnvd申请
CANCVE区别
07-13 1542
CAN/CVE号码你或许看到过随安全问题出现的CAN号码或CVE号码。例如看起来类似“CAN-2004-0397”或“CVE-2002-0092”。两种号码都代表了相同类型的实体:在http://cve.mitre.org/上维护的“常见漏洞曝光”列表中的一个条目。这个列表的目
[网络]公共网络安全漏洞库:CVE/CNCVE
dexi113的博客
07-05 2318
以网络安全行业中最大的、影响范围最广的CVE为例。CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。
SRC与各类证书(EDU、CNVDCVE)挖掘
qq_63217130的博客
04-29 2214
#该文章只做教学使用,请大家在授权情况下做测试。
浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)
热门推荐
TT成长博客
02-23 3万+
网络安全人士可能会问这样一个问题,安全漏洞是哪里来的,什么渠道,可靠吗。那么多的安全产品,他们的漏洞库都是自己整理的吗?(怎么可能撒),虽然各安全厂商都搞自己的威胁情报中心,但是威胁情报除了自研的,很多还是靠类似公益的机构来支持,比如业界大家都知道的几个平台,我们就简单大家掰扯掰扯吧。
网安术语简述( CVSS、EPSS 、CVE、CWE、CPE、APT、NVD、CNNVD、CNVD
weixin_57405945的博客
05-21 1725
CVSS(通用漏洞评分系统),用来评测漏洞的严重程度,并帮助确定所需反应的紧急度重要度。 EPSS (利用预测评分系统),是为了测量特定的漏洞在野外被利用的可能性。 CVE (通用漏洞曝光),是一个公开的数据库,用于记录识别已知的计算机安全漏洞、软件缺陷或安全风险。每个CVE条目都有一个唯一的标识符,用于引用特定的安全问题。 CWE ( 通用弱点枚举),为软件安全弱点提供了一个分类命名系统,旨在通过对所有已识别的缺陷暴露进行分类,帮助组织更好地解决漏洞。 CPE (通用平台枚举),是一个标
申请CVECNVD教程
qq_73648490的博客
03-27 802
运气很好,最近打的两个后台都有大大小小的漏洞,其中一个后台多处ssrfxss,另外一个更是sql注入RCE buff叠满了,上网一搜,没漏洞,开交!!
cnvd 提交漏洞是否属于未授权
05-19
CNVD 提交漏洞是 CNVD(中国国家信息安全漏洞库)平台提供的一项服务,旨在帮助安全研究人员向相关厂商或组织报告安全漏洞。因此,安全研究人员提交漏洞并非未经授权的行为,而是一种合法合规的安全研究行为。但是,在提交漏洞时,需要遵守 CNVD 平台的相关规定政策,如提交漏洞前需先与相关厂商或组织联系,并在得到授权后再进行提交。此外,提交漏洞时需要注意不要进行未经授权的渗透测试等活动,以免触犯相关法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值