CVE提交流程(包含漏洞公开过程)

已于 2023-01-30 14:29:19 修改
阅读量5.6k 收藏 20
点赞数 8
文章标签: web安全 安全性测试
于 2023-01-30 14:11:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41308444/article/details/128801156
版权

CVE编号比较好成功提交,审核时间大概在一个月左右。
但是CVE无法像CNVD一样给你发证书,所以作用大小自己权衡吧。

一、CVE提交流程

1、在https://cveform.mitre.org/进行CVE漏洞提交,把需要填的内容填好就可以了。

在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、提交完了之后,五分钟之内cve会发一个邮件,邮件名字是你这个漏洞的审核编号,大概内容就是接收到你提交的漏洞,交给哪个审核团队去审核了之类的。

在这里插入图片描述

3、当CVE审核完成后,会给你发一个邮件,里面会有你提交的漏洞信息和给你测CVE编号等信息。但此时的CVE编号并没有并公开,处于待定状态。

在这里插入图片描述

二、CVE公开流程

1、公开方法好像有比较多的方式,我提供一个我自己成功公开的方法。前往https://gist.github.com。写一个漏洞情况说明,大概格式内容如下:

在这里插入图片描述

5、然后再去CVE选择公开漏洞信息,提交后一般一天左右漏洞信息就会被公开。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Cai~niao
关注
  • 8
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
CVE漏洞编号拿到后 官方公开信息才是有效的 提报诚可贵验证价更高
weixin_34344403的博客
09-01 3515
常看到安全圈子里面,某大牛一下拿到了100多个CVE漏洞,小编无比敬仰。谁知道,上周看到绿盟科技的漏洞专家给出了解释和说明,才知道原来里面还有很多门道,从中可以看到提交漏洞时遇到的常见问题。 CVE漏洞 CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加,MITRE将漏洞编号的赋予工作转移到了其CAN(CVE Num...
CVE申请
dtf_csy的博客
12-14 935
一、如何去申请CVE编号? 大体上分为以下两种: 第一种:找Participating CNA要CVE编号 Participating CNA的意思就是参与CNA,可以理解为参与CVE计划的公司或项目发起者,总之就是有产品拿出来让大家挖漏洞的,这些CNA有一个列表CNA列表,按照列表中给的联系方式和CNA厂商直接联系获取CVE 邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁 第二种:找Primary CNA要CVE编号(公开披露) 找主CNA要编号,也就是MIT
提交cve和cnvd的区别以及申报文档所必须的内容
最新发布
m0_74003366的博客
06-18 411
cve审核会相对宽松很多,甚至你申报时不需要准备图片,只需要用文字把必要步骤写出来,证明这个漏洞存在,基本都可以申报成功。网上普遍说是一个月,其实就个人体会并没有这么久,大概是15天左右,cve就会再次发一封邮件到你的邮箱,审核通过的话会在该邮件内容附上你的。需要注意的是,在你提交cve会在几分钟之内回复一封邮件给你,在那里你可以修改自己先前提交内容的细节。你可以通过这个cve编号和PGP密钥选择公开与否你的漏洞发现,公开地址可以选择你的GitHub仓库地址。事件型漏洞的审核会快一点,大概需要3-5天。
cvelist:通过GitHub提交CVE的试验程序
02-10
CVE自动化工作组Git试点 正在尝试使用git共享有关公共漏洞的信息。 目的不仅是要了解支持发送和接收数据的“管道连接”所需的功能,而且还要了解CVE格式需要哪些属性和元数据来支持自动化。 有关参与此试验的详细信息,请参见。 该存储库保存使用的包含的信息。 在此存储库中使用CVE信息应遵守。 存储库概述 有关每个CVE ID的信息将作为唯一文件存储在子目录中的仓库中,该文件基于年份以及ID的数字部分(截断为1,000)。 因此, 适用于CVE-2017-3000-CVE-2017-3999,而适用于CVE-2017-1002000-CVE-2017-1002999。 如果有更改,CVE团队将使用CVE列表中的信息每小时自动更新这些文件。 同步作业将在小时开始时启动,并应在5分钟内完成。 对于已填充的ID,文件包含在中显示的描述和参考。 它们还可能包含有关受影响产品和问题类型的信
CVE申请过程
weixin_50464560的博客
07-05 3998
CVE申请的那些事在上一篇分享《安全小白面试的那些坑》中和大家提到面试的时候可以在简历中附上提交过的原创漏洞CVE、CNVD编号等信息,以证明自己在漏洞挖掘方面的技术经验和能力。本文将和大家分享申请CVE的方法和技巧。什么是CVE对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这
CVE 官网提交流程
qq_44172732的博客
07-08 1357
CVE申请流程
记录一次CVE申请过程
m0_43397796的博客
06-01 3851
跟着网上的教程申请了CVE,简单记录一下申请过程
CVE申请的那些事
Fly_鹏程万里
07-19 3289
什么是CVE 对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这里查找不同应用或系统的漏洞信息。当然很多安全企业或国家机构也都会引用CVE作为其漏洞库,比如美国国家漏洞...
weblogic 漏洞统计 CVE
09-18
1. CVE-2016-0696、CVE-2016-0700、CVE-2016-0675:这些漏洞主要涉及到WebLogic服务器的安全漏洞,可能允许远程攻击者执行任意代码或获取敏感信息。 2. CVE-2016-3416、CVE-2016-0688、CVE-2016-0638:这些是2016年...
[HACK学习呀] - 2020-11-05 记一次代码审计到申请CVE过程1
08-03
(1)有每种漏洞的利用套路 (2)有人家复现的整体流程 (3)有针对每种漏洞的研究性文章
CVE-2019-0708漏洞利用脚本
01-10
自己下载到kali解压,参考文章https://blog.csdn.net/weixin_43742395/article/details/112432343
CVE提交与Github写入技巧
weixin_48421613的博客
10-12 3179
什么是CVE CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。 CVE的官网 http://cve.mitre.org/. CVE提交地址 https://cveform.mitre.org/. CVE提交的技巧 1、在github上寻找目标找漏洞 2、在github上提交Issues 3、通过https://cveform.mitre.org/提交
CVE申请系列(1)——CVE简介
Kni9hT's Blog
01-14 2019
参考:CVE申请的那些事 1.什么是CVE CVE的全称是“Common Vulnerabilities and Exposures”,翻译成中文就是“公共漏洞和披露”。它相当于一个搜集了很多安全漏洞漏洞库,不同的漏洞信息对应着一个不同的CVE编号,所谓申请CVE也就是申请一个CVE编号。 2.CVE授权机构CNA CNA的全称是“CVE Numbering Authority”,中文可以理解为...
漏洞成为网络安全最大的隐患 美军网络武器库被叫卖
weixin_34292959的博客
07-03 118
北京时间5月12日20时左右,全球互联网爆发了一场大规模病毒感染事件,肇事者是一款叫“Wannacry”的勒索软件,中毒电脑文件会被自动加密,解密需支付300美元的比特币。据悉,这是美国国家安全局网络武器库泄露后,首个利用漏洞进行网络攻击的全球性事件。 勒索病毒来自美军网络武器库泄露 网络黑客组织Shadow Brokers声称盗取了美军的网络武器库,并...
渗透相关问题(二)
zjdda的博客
05-25 633
1.报错注入原理是什么? 由于后台没有对数据库的信息做过滤,会输出到前台显示,那么我们就可以利用制造报错函数,将查询语句带入到数据库中,以报错信息显示出来,一般是不以网页标签和xpath的路径格式来制造报错。 2.常用哪些函数来制造报错? extractvalue()、updatexml()、floor()、exp()。 3.updatexml()函数制作报错原理是什么? Updatexml函数的第二个参数应当是填写规范的xpath路径,当用户在这个字段中使用concat函数时,cancat函数会将它所执行
CVE-2019-16097 || Harbor任意管理员注册漏洞复现
Summer's blog
05-13 3709
目录 0x01 前言 0x02 漏洞简介及危害 0x03 漏洞复现 0x04 修复建议 #0x01 前言 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全...
CVE-2022-28525漏洞利用具体过程
06-08
由于CVE-2022-28525是一个比较新的漏洞,目前尚未公开漏洞的具体利用过程。根据公开的信息,该漏洞可能涉及某个软件或系统的安全问题,攻击者可能会利用该漏洞执行一些恶意操作,可能包括远程代码执行、拒绝服务攻击等。建议用户及时关注该软件或系统的官方公告,及时更新修复补丁,提高自身的安全防护能力。同时,避免访问未知或可疑的网站、下载不明来源的文件等行为。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值