一CNVD漏洞黑盒挖掘
二CNVD原创漏洞积分与奖励(京东卡)
三漏洞挖掘之后如何提交以及总结
360quake: https://quake.360.cn/quake/#/index
Fofa: https//fofa.so/
Zoomeye:https://www.zoomeye.org/
使用网络空间搜索引擎fofa,zoomeye,360quake,结合天眼查查资产进行搜索
黑盒挖掘通用型漏洞
(1)关键字搜索
天眼查查注册资金
(2)
(3)cnvd查找已知漏洞厂商
百度找相关厂商官网,然后进入官网查看网站源代码,然后Fofa搜索关键字,尽量借助fofa提示来进行搜索
Tips:挖掘到通用型漏洞如何提交?
黑白盒大体一样,只是互联网案例要求不太一样
1.漏洞报告书写,漏洞厂商,归属地,漏洞名称,漏洞利用点互联网案例,截图证明漏洞利用成功(比如进入后台截图),sqlmap注入成功的截图,反弹shell的截图,上传木马链接之后截图
2.互联网案例黑盒要求写十个,复现至少3个,比如说某路由器弱口令,互联网案例也就是网址,写十个url,其中最少要写三个成功进入后台的截图,白盒审计截图代码调试过程以及利用截图
3.如果想要在证书写上你的名字就按照这种格式去写
发现者:张三-清华大学, 也就是:名字后边-单位名称
事件型漏洞证书与通用型漏洞证书一样。有时候证书颁发之后,会有一些错误,比如说漏洞类型写错,名字写错什么的,可以直接发邮件反馈,