申请CVE和CNVD教程

最新推荐文章于 2024-06-18 12:05:45 发布
最新推荐文章于 2024-06-18 12:05:45 发布
阅读量524 收藏 7
点赞数 4
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73648490/article/details/137075409
版权

*声明:*请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合法渗透,本文章内容纯属虚构,如遇巧合,纯属意外。

前言

运气很好,最近打的两个后台都有大大小小的漏洞,其中一个后台多处ssrf和xss,另外一个更是sql注入和RCE buff叠满了,上网一搜,没漏洞,开交!!

CVE漏洞申请

访问

https://cveform.mitre.org/

image-20240324232346209

在这里申请一个编号

image-20240324232406918

第二栏填邮箱

填写申请数目

image-20240324232606695

vendor这一栏是厂商名,填官网即可

image-20240324232708426

全部都要用英文

image-20240324232730674

这个地方一定要填写可以访问的url地址,可以是github issue,也可以是自己的博客漏洞分析

过几分钟就会收到邮件

image-20240324232907751

我这里等了一周左右,就受到了编号分配

image-20240324233006983

这里可以选择公开编号,也可以选择不公开

公开教程如下

https://cveform.mitre.org

image-20240324233126035

image-20240324233134770

PGP Key可填可不填

收到邮件,几个小时后就会被收录进各大漏洞官网

CNVD漏洞申请

登录https://www.cnvd.org.cn/

上报漏洞提交

image-20240324233547045

这些不过多赘述,值得注意的是,报告中需复现三个案例,七个贴url

如果嫌麻烦的可以使用我的自动化脚本生成文档软件,并会把上图消息如数写下,方便复制粘贴(cnvd不让selenium爬)

原文链接    申请CVE和CNVD教程

关注公众号,回复 cnvd自动生成

获取源码信息

月金剑客
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iwantacve:套哥代你申请CVE啦!~~~
05-15
iwantacve 套哥代你申请CVE啦!~~~ 其实申请CVE并没有那么复杂,套哥总结和实践了几种方法。具体可参看 1、《CVE申请的那些事》 2、《CVE申请的那些事-后记》 还可以关注套哥的微信公众号 “安全圈套” ,历史文章中有一篇 《你信么?中文也能申请CVE 》 ,可以帮助英文不好的小伙伴申请CVE编号哦。 套哥会把自己申请的和带小伙伴申请cve一并统计在这里: CVE-2018-11671:GreenCMS v2.3.0603存在CSRF漏洞可增加管理员账户 CVE-2018-11670:GreenCMS v2.3.0603存在CSRF漏洞可获取webshell CVE-2018-11559:DomainMod 4.10.0存在存储型XSS漏洞 CVE-2018-11558:DomainMod 4.10.0存在XSS漏洞 CVE-2018-11404:DomainMod
【官方】CNVD成员单位申请材料模板
06-12
CNVD成员单位申请材料模板。 官方发布,内含手续过程。
提交cvecnvd的区别以及申报文档所必须的内容
最新发布
m0_74003366的博客
06-18 416
cve审核会相对宽松很多,甚至你申报时不需要准备图片,只需要用文字把必要步骤写出来,证明这个漏洞存在,基本都可以申报成功。网上普遍说是一个月,其实就个人体会并没有这么久,大概是15天左右,cve就会再次发一封邮件到你的邮箱,审核通过的话会在该邮件内容附上你的。需要注意的是,在你提交后cve会在几分钟之内回复一封邮件给你,在那里你可以修改自己先前提交内容的细节。你可以通过这个cve编号和PGP密钥选择公开与否你的漏洞发现,公开地址可以选择你的GitHub仓库地址。事件型漏洞的审核会快一点,大概需要3-5天。
怎样获得CNVD原创漏洞证书
qq_33163046的博客
03-04 2768
以上是我获取原创漏洞证书的过程。供大家参考,希望安全从业人员都能过上美好的生活。
CNVD原创漏洞审核和处理流程
haosha。的博客
12-25 4250
CNVD原创漏洞审核和处理流程,转发自CNVD官方交流群
CVE和全球安全漏洞库(NVD, CNNVD, CNVD) 在软件安全检测和验收中的最佳分析工具
热门推荐
weixin_42080971的博客
04-27 1万+
网址 全球信息安全漏洞库文件检测服务http://cvescan.com 全球信息安全领域著名的漏洞数据库包括中国国家信息安全漏洞库,美国国家信息安全漏洞库,赛门铁克漏洞库等等。这些漏洞库常见的做法是披露漏洞的形成原因和修复方法, 对如何检测漏洞却很少提及。缺少高效且准确的安全漏洞检测机制成为了制约漏洞库利用效率的一个障碍。 另一方面,国内各个软件项目的验收阶段和第三方评测中心在验收过程中,普遍侧...
CVE申请过程
weixin_50464560的博客
07-05 3998
CVE申请的那些事在上一篇分享《安全小白面试的那些坑》中和大家提到面试的时候可以在简历中附上提交过的原创漏洞如CVECNVD编号等信息,以证明自己在漏洞挖掘方面的技术经验和能力。本文将和大家分享申请CVE的方法和技巧。什么是CVE对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这
干货:个人申请CVE的姿势总结.docx
07-06
提交CVE申请主要有两种方式:公开披露和向CNA(CVE Numbering Authorities,即CVE编号授权机构)成员报告。公开披露通常适用于已经公开的漏洞,而向CNA报告则更适用于先与受影响厂商沟通的情况。 - 公开披露流程...
CVE-2016-3720
02-22
这个项目是CVE-2016-3720 Demo,为了避免搭建环境,大佬们可以直接获取到这个资源。 相对应的分析文章是:https://blog.csdn.net/qq_36869808 可以在这篇文章看到分析的内容,感谢~当然如果非常需要这个资源,也...
cve_feeds:从NVD和GitHub下载CVE提要
02-08
此存储库包含有关最近和修改的CVE的和GitHub安全咨询数据。 定期使用GitHub操作下载数据。 然后使用CloudBuild触发器将该json数据转换为适合使用Data Studio进行可视化的BigQuery数据。 数据工作室仪表板
cve_2020_14883.zip
05-28
通过以上详细说明,我们了解到CVE-2020-14883是一个严重的WebLogic Server漏洞,但通过及时更新和正确应用补丁,我们可以有效地保护系统免受攻击。同时,实施最佳实践能进一步增强系统的安全性。
CVECNVD以及漏洞处置
luuuone的博客
06-23 1078
简要介绍cvecnvd的关联,以及日常漏洞修复的注意事项
【愚公系列】2023年06月 网络安全高级班 083.CNVD原创漏洞证书(漏洞提交流程与通报示例)
时光隧道
06-02 9399
漏洞证书包括漏洞的标题、描述、漏洞的风险评估、影响范围、解决方案和参考等信息。对于收到的漏洞报告,CNVD会进行审核和评估,并根据漏洞的危害程度和影响范围,给出相应的处理建议。对于已经发布的漏洞证书,CNVD会在后续对漏洞修复的情况进行监控和跟踪,以确保相关漏洞得到及时、有效的解决。漏洞详情通常包括漏洞名称、漏洞类型(弱口令、未授权、信息泄露、命令执行…漏洞附件也是必填项,需要将漏洞名称、漏洞复现过程完整写入Word文档并提交。漏洞附件内容:单位或高校或厂商名称、漏洞描述、漏洞链接、复现过程、操作截图等。
SRC——cnvd
qi_SJQ_的博客
02-25 2427
1.cnvd证书: 申请条件是需要波及影响到的系统/url等等至少100个资产,通用性漏洞! 一般也就分三类:开源系统、闭源系统、售卖系统,后两个有些类似。 2.发现寻找: 善用资产搜索引擎搜索,看某套系统是否涉及到足够多的资产,能否达到100个。 js爆破:https://blog.csdn.net/weixin_40418457/article/details/116451794 3.难度: java难度最大,python比较少,再然后php、aspx(反编译)、.net等。 ...
个人报CNVD和CNNVD披露漏洞教程
m0_59598029的博客
09-12 2873
随着越来越多关注漏洞披露对于企业和应用所带来的影响,通过国内平台披露漏洞也越来越受到关注。不同平台上披露漏洞的流程有所不同,刚好借此机会进行总结。
CNVD、CNNVD、CICSVD、NVD、CVE等区别与联系详解
梦想专栏
12-14 3200
业务范围涵盖工业信息安全、两化融合、工业互联网、软件和信创产业、工业经济、数字经济、国防电子等领域,提供智库咨询、技术研发、检验检测、试验验证、评估评价、知识产权、数据资源等公共服务,并长期承担声像采集制作、档案文献、科技期刊、工程建设、年鉴出版等管理支撑工作。完成国家主管部门下达的网络安全审查、系统安全检查等任务500余项,服务地域覆盖全国31个省、自治区、直辖市,服务领域涉及政务、金融、电信、能源、交通等22个重要行业,检测国家重要信息系统4000多个、各类信息技术产品500余款。
申请CVE的姿势总结
weixin_50464560的博客
07-09 1506
什么是CVECVE的全称叫做“Common Vulnerabilities & Exposures”中文含义是公共漏洞和暴露。它作为披露漏洞的平台,受到国内外关注。CVE会提供编号作为漏洞对应的字符串式特征,有很多企业倾向于用多少高质量的CVE来证明实力,一些工具和产品也会使用CVE作为漏洞的官方标识。一些企业关注漏洞使用CVE作为修补漏洞的索引依据。 如何去提交CVE? 目前经过总结提炼出来多种申请CVE的方法,每种方法都有利弊,请自行选择。大体上分为两种,公开披露和...
CVE 官网提交流程
qq_44172732的博客
07-08 1357
CVE申请流程
是否避免使用含有已公开漏洞的开源第三方应用组件及代码(漏洞库可参考CVECNVD等)
05-28
是的,避免使用已公开漏洞的开源第三方应用组件及代码是非常重要的。这些漏洞可能已经被攻击者利用,因此在Web程序中使用这些漏洞组件或代码将会对程序造成安全威胁。 为了避免这种情况,Web程序开发人员应该定期检查其使用的所有开源组件和代码,并查看其是否存在已公开的漏洞。这些漏洞可以通过CVECNVD等漏洞库来查询。 如果存在漏洞,则开发人员应该立即停止使用相关组件或代码,并查找替代品。对于必须使用这些组件或代码的情况,开发人员应该及时升级相关组件或代码,以确保其安全性。 总之,避免使用含有已公开漏洞的开源第三方应用组件及代码是非常重要的。Web程序开发人员应该定期检查其使用的所有开源组件和代码,并及时升级或替换存在漏洞的组件或代码,以确保程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值