记录一次重复的cnvd过程

已于 2023-10-22 20:03:28 修改
阅读量177 收藏 1
点赞数 2
分类专栏: 漏洞复现 SRC 笔记 文章标签: 网络安全 安全 web安全
于 2023-10-22 20:02:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45322343/article/details/133976779
版权
笔记 同时被 3 个专栏收录
12 篇文章 1 订阅
订阅专栏
漏洞复现
2 篇文章 1 订阅
订阅专栏
SRC
2 篇文章 1 订阅
订阅专栏

需要获取cnvd证书的话首先需要知道证书条件

事件型

事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书

通用型

中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0)

软件开发商注册资金大于等于5000万人民币或者涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞

通用型漏洞得十个网络案例以上
这里是通用型
输入ip打开网站发现显示连接不安全
在这里插入图片描述在火狐浏览器网址栏输入:about:config
点击接受风险并继续,将最低版本3->1
Security.tls.version.min改为1
输入地址登录:打开发现是北京百卓网络技术有限公司SmartS210系统
企查查搜索企业发现资产大于5000万,满足其中一个条件在这里插入图片描述

输入默认账号密码发现登录成功
在这里插入图片描述
在这里插入图片描述
这里为了省时间,直接不一个一个找,添加这里存在SQL注入
打开认证账号尝试添加
在这里插入图片描述
然后抓包burp里面修改参数测试一下,执行sleep函数发现页面延时了,存在sql注入
在这里插入图片描述
然后根据cnvd证书条件复现3-5个,提交在提交10个以上案例
最后发现重复的,不过就当是复现咯
在这里插入图片描述

emptybottle.
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
cnvd出报告专用.docx
06-19
文件内容:包含cnvd的各种漏洞详情——危害——修复建议;直接复制—粘贴即可完成报告;即可用于写渗透测试报告,也可提交各种src
【官方】CNVD成员单位申请材料模板
06-12
CNVD成员单位申请材料模板。 官方发布,内含手续过程
CNVD-2021-17369 smartweb管理系统管理员密码泄露.md
04-11
CNVD-2021-17369 smartweb管理系统管理员密码泄露
渗透测试挖掘漏洞获取CNVD证书的经验分享
08-21
渗透测试挖掘漏洞获取CNVD证书的经验分享
[知识小节]复现cnvd收录的SQl注入漏洞
网络安全知识分享
10-27 8819
SQl注入漏洞的复现 出于安全文章中不出现任何关于漏洞的真实url (1)我选择的扫描器是xary,报红如下: (2)使用sqlmap开始跑跑跑 思路:我们要做的就是搞到管理员的用户名和密码,因为不同公司的数据库存放的信息不同,有的数据库内容过多,跑数据的时候耗时特别长,所以当我们发现库名、表名有可能存放敏感信息的时候就要果断放弃无用的数据。 步骤: a、检测是否有注入 b、跑数据库名 c、跑表名 d、跑字段 e、跑字段中的数据 注:我们最后的到的用户名密码可能是经过加密的,我们可以试着用md5和base
记录一次挖SRC碰到一个通杀的经历
zkaqlaoniao的博客
10-22 609
目录 一、发现 二、利用 三、提交 四、验证 五、关于SLQ注入个人心得(关于技巧一方面已经有很多文章了,这里我就说说我遇到的各种问题吧) 如果文章对你有帮助,欢迎关注、点赞、收藏一键三连支持以下哦! 想要一起交流学习的小伙伴可以关注【黑客菌】,后台领取资料,私信拉群。共同学习进步 一、发现 在8月SRC挖掘的过程中,受到某位大佬的文章建议,尝试用不同传参尝试去找漏洞,于是就换了一个type_id,突然就感觉发现了新大陆一样,10个网页里面9个有漏洞,还有一个有waf。在提交了十来
记第一次eudsrc拿到RCE(上)
weixin_72543266的博客
04-06 820
免责声明以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。本来想大学四年都不会有可能拿到一次大佬长谈的RCE,没想到,居然在学了一天liunx上部署和学习Javaweb后,休息时一波信息收集拿到了,美滋滋,The harder you work, the luckier you get.
NISP一级练习题1-10
weixin_43263566的博客
08-16 6523
A. 在一定程度上,人类社会的发展速度取决于人们感知信息、利用信息的广度和深度B. 信息无时不在,无处不在,信息是我们行动决策的重要依据C. 电视机、电话机、声波、光波是信息D. 人类可以借助信息资源对自然界中的物质资源和能量资源进行有效地获取和利用解析:电视机、电话机、声波、光波不属于信息A. 维持与改进B.维持与报告C.报告与监督D.监督与报告。
如何写好一份“漏洞报告”
m0_60571990的博客
11-25 445
如何写好一份“漏洞报告”
python爬取cnvd漏洞库信息的实例
09-19
今天小编就为大家分享一篇python爬取cnvd漏洞库信息的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 4万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
CNVD原创漏洞证书总结
黑面狐
09-12 4万+
之前打算申请个CNVD的原创漏洞证书。经过这一个多月的时间证书下来了,现在简单总结一下。 原创漏洞审核和处理流程参考此链接:http://www.cnvd.org.cn/webinfo/show/3933 然后我就说说我提交过两个后台的文件上传漏洞 7.26提交-7.27二审通过,验证通过-9.4三审通过,漏洞归档-9.9漏洞公开 我在想漏洞公开了,怎么证书也应该下来了,我这个通用型的漏洞...
如何拿下CNVD原创证书
红队是青春
05-26 1万+
# 如何拿下CNVD原创证书 看见别人拿,我一个大二生,也想来几发,虽然我已经入职,但我也有虚荣心,于是我尝试了很久,最后发现原来获得CNVD原创证书,如此容易! 今年是2021年,我从5月份就开始对CNVD证书下手了,一开始我是往大厂商方向走,发现自己压根没那水平挖,因为一般来说,大厂商网站一般会有三层防护——CDN->DDOS->WAF,得过了这三层防护才能进行一个很舒服的信息收集,不然一不小心就被ban了,所以一开始最好从小厂商入手,先打点漏洞编号,想拿下CNVD原创证书,我们必须得.
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8261
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
漫谈企业信息化安全 - 零信任架构
SplashtopLoki的博客
05-27 1201
SDP是一种网络安全框架,旨在提供安全、隐私和访问控制,通过创建一种透明的、动态的连接模型,将用户和设备与应用程序之间的连接限制在一个隐形的、不可见的网络边界之内。SDP的目标是通过动态生成的边界实现更加精细的访问控制和安全性。
Docker 安全及日志管理
最新发布
2301_77081516的博客
06-02 277
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。而 Docker 容器则是通过隔离的方式,将文件系统、 进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
掌控安全CTF-2024年5月擂台赛-WP(部分)
ASD830的博客
05-27 1125
如果实在没看到的话(或者扫不出来),可以放stegsolve里面看看,red plane 3,够清晰了吧哈哈哈。
ModStartBlog v9.4.0 后台安全升级,已知问题修复
qq_26450889的博客
05-29 961
ModStart 是一个基于 Laravel 模块化极速开发框架。模块市场拥有丰富的功能应用,支持后台一键快速安装,让开发者能快的实现业务功能开发。系统完全开源,基于 Apache 2.0 开源协议。
Java 获取cnvd漏洞
09-14
根据CNVD官网提供的API,可以使用Java编程语言获取CNVD漏洞信息。以下是获取最新漏洞列表的示例代码: ```java import java.io.BufferedReader; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.URL; public class CNVD { public static void main(String[] args) throws Exception { String url = "http://www.cnvd.org.cn/web/vulnerability/queryLds.tag"; URL obj = new URL(url); HttpURLConnection con = (HttpURLConnection) obj.openConnection(); // 设置请求方法 con.setRequestMethod("GET"); // 添加请求头 con.setRequestProperty("User-Agent", "Mozilla/5.0"); // 发送GET请求 int responseCode = con.getResponseCode(); // 输出响应结果 BufferedReader in = new BufferedReader(new InputStreamReader(con.getInputStream())); String inputLine; StringBuffer response = new StringBuffer(); while ((inputLine = in.readLine()) != null) { response.append(inputLine); } in.close(); // 打印结果 System.out.println(response.toString()); } } ``` 该代码会向CNVD官网发送GET请求,并打印响应结果,包含最新漏洞列表信息。需要注意的是,该代码需要在网络环境下运行。同时,CNVD官网可能会对频繁请求进行限制,开发者需要注意不要过度请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值