怎样获得CNVD原创漏洞证书

最新推荐文章于 2024-05-28 11:01:58 发布
最新推荐文章于 2024-05-28 11:01:58 发布
阅读量2.7k 收藏 9
点赞数 5
分类专栏: general 文章标签: https 服务器 安全 CNVD 漏洞上报
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33163046/article/details/136174269
版权

1. 前言

        因为工作变动,我最近把这一年多的工作挖漏洞的一些工作成果提交到了CNVD漏洞平台(https://www.cnvd.org.cn/),获得了多张CNVD原创漏洞证书。本篇博客讲下怎么获得CNVD原创漏洞证书,以供大家参考。

2. CNVD原创漏洞证书获取条件

1.事件型

事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书。

2.通用型

这里我们主要介绍通用型漏洞证书获取方式,通用型发证要求为中高危漏洞且漏洞评分不小于4.0(这里说白了就是低危不发证),通用型证书获取方式需要满足两个条件:

1)需要给出漏洞证明案例至少十起(例如:一个建站平台下的十个网站都存在SQL注入,你就需要提供这十个网站的URL,具体漏洞复现方式需要在你上传的doc文件中至少详细复现3~5个,剩下的只需要将URL附上即可)。

2)发现的漏洞相应的公司规模要以及注册资金要相应比较多,反之可能提交的漏洞会被打下来(CNVD要求公司的注册资金必须不小于五千万,但在实际情况中可能不需要这么多,只要不是太小的公司就可以)。

3. 发现漏洞

发现漏洞的方式,大家各显神通。

4. CNVD证书审批流程

1、在www.cnnvd.org.cn注册一个账号。
注册账号的链接为:www.cnvd.org.cn/user/regist ,注册时需阅读上报须知:www.cnvd.org.cn/sbxz。

2. 使用注册的账号登录,在左侧栏选择“漏洞上报”,点击右上角“立即上报漏洞”。然后填写“基本信息”,“厂商信息”,“漏洞详情”。

发现者默认是自己名字,如果你的漏洞在同类设备上都能出现,那么“漏洞所有类型”就填“通用型漏洞”。

“漏洞详情”填写的时候,有一点我很震惊,就是竟然没有“权限提升”这个类别。好吧,我基本都选的其他。下面我主要填了漏洞描述和解决方案。

填完后输入验证码,提交。

3. 回到左侧栏选择“漏洞上报”,可以看到自己提交的漏洞已经有了编号"CNVD-C-2024-****",接下来就是等待审核了。审核的速度比较慢,事件跨度大概是这样。

4. 到漏洞归档的这一天,“系统消息”栏会收到漏洞审核结果的消息,然后次日通知你有原创漏洞整数生成(中危以上),下载下来,就OK了。

5. 我的证书。

我提交的漏洞里基本都获得了中危以上评分。以下是几张高危证书的原创漏洞证明

5. 总结

以上是我获取原创漏洞证书的过程。供大家参考,希望安全从业人员都能过上美好的生活。

晓翔仔
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试挖掘漏洞获取CNVD证书的经验分享
08-21
渗透测试挖掘漏洞获取CNVD证书的经验分享
如何拿下CNVD原创证书
红队是青春
05-26 1万+
# 如何拿下CNVD原创证书 看见别人拿,我一个大二生,也想来几发,虽然我已经入职,但我也有虚荣心,于是我尝试了很久,最后发现原来获得CNVD原创证书,如此容易! 今年是2021年,我从5月份就开始对CNVD证书下手了,一开始我是往大厂商方向走,发现自己压根没那水平挖,因为一般来说,大厂商网站一般会有三层防护——CDN->DDOS->WAF,得过了这三层防护才能进行一个很舒服的信息收集,不然一不小心就被ban了,所以一开始最好从小厂商入手,先打点漏洞编号,想拿下CNVD原创证书,我们必须得.
记录一次cnvd事件型证书漏洞挖掘
蚁景网安学院
05-28 1210
事件起因是因为要搞毕设了,在为这个苦恼,突然负责毕设的老师说得到cnvd下发的证书结合你的漏洞挖掘的过程是可以当成毕设的,当时又学习了一段时间的web渗透方面的知识,于是踏上了废寝忘食的cnvd证书漏洞挖掘的日子。
通用型CNVD证书挖掘过程记录
m0_56214376的博客
03-02 826
cnvd证书获取
CNVD原创证书的正确获取姿势
Forget_liu的博客
05-11 3454
比如这里有个某某公司,那我们就可以利用爱企查去查询一下这个公司的注册资产,如果超过5000万,满足发放证书条件,那我们就可以根据这个提示去试着寻找一下这个系统,找到之后呢,我们可以利用我们平常的测试手段,尽量模仿打一下CNVD官网所通报出来的漏洞,据我打过多个的经验来看,大多数都是能打到的,找到漏洞点进行漏洞复现的。当然也有一些系统是没有这种技术支持的,这个时候我们就需要一些其他的方法去判断其归属于哪个公司,有源代码中有注释的,有进后台发现某某公司开发的,反正找归属是个细心活,没有太多的技巧。
通俗解读CNVD证书获取条件
Jici_Zeroten的博客
10-25 3610
介于互联网上的文章以介绍挖CNVD的手法偏多,而没有对获取CNVD证书的规则进行讲述,所以在此对CNVD证书获取条件进行解读。注意,我不会对类似“CNVD证书是什么”“CNVD证书有什么用”“哪些漏洞可以获取CNVD证书”之类的问题进行介绍,仅是为了用最通俗的话告诉对CNVD证书有兴趣的小伙伴们应该怎么做。尊重每个技术人!唯热爱永垂不朽!
快速获得CNVD证书
weixin_51725318的博客
05-26 2807
快速获得CNVD证书
看大佬们都是如何获得cnvd原创漏洞证书
Y525698136的博客
06-12 2853
最近不少粉丝都在问关于怎么拿cnvd证书,之前也零散的分享过学员们的一些经验 今天带你们看看大佬是如何拿到cnvd原创漏洞证书
CNVD证书获得及要求
热门推荐
qq_45414878的博客
05-22 3万+
CNVD证书获得及要求前言:CNVD证书简介要求挖掘思路定位目标搜索案例漏洞类型证书展示文件上传逻辑漏洞弱口令ps: 前言: 4月份利用闲时时间对学校资产进行了一波渗透测试,发现蛮多的漏洞,这其中就发现了这次证书漏洞厂商,前不久证书也下来了,再加上有时间就对这次收获做一次总结。 CNVD证书 简介 国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国
小白如何获取CNVD事件型原创漏洞证明?——记CNVD漏洞挖掘思路
黑战士的博客
08-03 3133
证书就不在这里放了,写本文的初心也是为了帮助更多想要获取CNVD证书而不知如何行动的小伙伴而写,因为网上的教程良莠不齐,我尽量用通俗易懂的语言教会大家,其中不妨掺杂着一些幽默成分,在看完本文或许会对你有所帮助,或许很多人看到这篇文章是因为消息推送,亦或是想要拿到CNVD证书,给自己以后铺路……像这种CNVD要把你送进去的案例也就不要再测了。总的来说爆洞的几率不小,CNVD审核也都很给力,发邮件的话1-2天内回复,审核速度也不慢(事件型)。实测这种方法能拿到的漏洞还是不少的,不过也会有这种情况……
【官方】CNVD成员单位申请材料模板
06-12
CNVD成员单位申请材料模板。 官方发布,内含手续过程。
CNVD出报告专用和42常见的的漏洞模板
最新发布
06-02
CNVD(China National Vulnerability Database)是中国国家信息安全漏洞库,它是我国网络安全防护的重要资源,用于收集、整理、验证、发布网络安全漏洞信息。这份名为“CNVD出报告专用和42常见的漏洞模板”的压缩包...
python爬取cnvd漏洞库信息的实例
09-19
本文将介绍一个使用Python爬取中国国家信息安全漏洞库(CNVD)工控漏洞信息的实例,帮助你理解如何处理反爬虫策略并有效地抓取网页数据。 首先,我们需要了解目标网站的结构。在这个例子中,CNVD的工控漏洞库...
向日葵RCE漏洞CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
如何获得cnvd原创漏洞证书之信息泄露篇(结尾福利)
weixin_50464560的博客
06-19 5013
一、前言 做任何事情,付出就要有回报,这样才会有动力。而对于挖漏洞这件事情,回报其实就是获得证书和奖金了。今天我就来讲讲如何获得证书。发现很多师傅对cnvd证书的挖掘缺乏思路,明明已经学了很多知识,但却苦无思路。看着一些大佬整天貌似不费吹灰之力便得到很多证书,除了羡慕,还是羡慕。作为一个过来人,我这次就来讲述一下我拿到第一张cnvd原创漏洞证书的过程。首先先声明一下,由于本人技术有限,可能不能很好的诠释,希望各位师傅看了轻喷,谢谢观看。 二、通用型漏洞 首先最开始我是不了解事件型漏洞跟通用型漏洞的区别,所以
漏洞挖掘】挖掘CNVD证书
信安是不可或缺的一部分!
01-06 3342
国家信息安全漏洞共享平台(简称CNVD),对于白帽子来说,挖掘的漏洞提交后会有一定的奖励,如积分可以兑换京东卡,这里介绍的是如何挖掘cnvd证书证书条件如下。
【愚公系列】2023年06月 网络安全高级班 082.CNVD原创漏洞证书(审核处置与证书颁发)
时光隧道
06-02 8605
CNVD 漏洞主要分为事件型漏洞和通用型漏洞。事件型漏洞指由某个单位具体管理的网站系统或业务系统存在的安全漏洞。通用型漏洞(通用软硬件漏洞)指通用框架、组件、应用程序、设备等软硬件产品存在的安全漏洞
【愚公系列】2023年06月 网络安全高级班 081.CNVD原创漏洞证书(简介)
时光隧道
06-02 8665
CNVD是中国国家信息安全漏洞库(China National Vulnerability Database)的简称。它是中国国家信息安全漏洞库技术小组负责建设、维护和使用的在线数据库,为政府和企事业单位提供网络安全漏洞信息共享、公开和查询服务。建立CNVD的目的是为了保障网络信息安全、提高网络安全防护能力和水平,为国家信息化建设和经济发展提供坚实的网络安全保障。收集、整理和发布国内外的漏洞信息;提供漏洞信息的查询、分析和评估服务;向用户发放漏洞信息的修复方案和建议;
cnvd 提交漏洞是否属于未授权
05-19
CNVD 提交漏洞CNVD(中国国家信息安全漏洞库)平台提供的一项服务,旨在帮助安全研究人员向相关厂商或组织报告安全漏洞。因此,安全研究人员提交漏洞并非未经授权的行为,而是一种合法合规的安全研究行为。但是,在提交漏洞时,需要遵守 CNVD 平台的相关规定和政策,如提交漏洞前需先与相关厂商或组织联系,并在得到授权后再进行提交。此外,提交漏洞时需要注意不要进行未经授权的渗透测试等活动,以免触犯相关法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值