CVE的提交与Github写入技巧

最新推荐文章于 2024-06-19 09:39:24 发布
最新推荐文章于 2024-06-19 09:39:24 发布
阅读量3.1k 收藏 10
点赞数 1
分类专栏: web安全评估 文章标签: github html cve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48421613/article/details/120719338
版权

什么是CVE

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

CVE的官网

http://cve.mitre.org/.

CVE提交地址

https://cveform.mitre.org/.

CVE提交的技巧

1、在github上寻找目标找漏洞
2、在github上提交Issues
3、通过https://cveform.mitre.org/提交

CVE提交不需要通用,只需要单个事件型的就可以提交,大到二进制漏洞小到敏感信息泄露、CSRF都可以提交,而且只要没重复否能过,只要能访问到

CVE的提交需要做的准备

  1. github的账户,用来写漏洞文章或者去开源项目下留下留言,以证明漏洞
  2. 谷歌邮箱,因为CVE的发放需要邮箱作为媒介,如果你使用139邮箱这种国内的,结果可能不是很理想
  3. 百度翻译,CVE提交需要英文方式提交,所以为了能更快的通过,github的Issues和文章需要英文写

CVE的提交步骤

在github找到漏洞之后,需要通报厂商Issues
这一步的目的是为了厂商通报,建议选取开源项目,需厂商确认,否则CVE不一定会下发成功 (https://github.com/liufee/cms/issues)

在这里插入图片描述
在开源项目厂商留言截图后,就可以去快乐的提交了

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可能有人问,那如果是设备的漏洞或者是互联网上非开源项目能提交吗?怎么提交?

花样作死小技巧,github装逼博客

https://github.com/.

在这里插入图片描述
在这里插入图片描述
之后选择 “settings->pages->Choose a theme”
在这里插入图片描述
随意选个主题就好了,点击“select theme”

在这里插入图片描述
新增一个readme,用来写漏洞细节,当然了你也可以从代码里写

在这里插入图片描述
写好之后,点击保存即可

在这里插入图片描述
那么写好之后如何去访问这个项目呢?

在这里插入图片描述
在这里插入图片描述
ok,准备工作都完毕了,等待CVE邮件回复即可

在这里插入图片描述
收到回复之后,你也可以给人家写骚扰信,开玩笑的,这之后只需要等半个来月即可

在这里插入图片描述

在这里插入图片描述
总结:这玩意比CNVD原创漏洞证书来的简单

vlan911
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
记录一次CVE申请过程
m0_43397796的博客
06-01 3851
跟着网上的教程申请了CVE,简单记录一下申请过程。
CVE提交流程(包含漏洞公开过程)
weixin_41308444的博客
01-30 5615
CVE提交流程(包含漏洞公开过程)
推荐开源项目:ScanCVE - 实时GitHub CVE扫描与预警系统
最新发布
gitblog_00031的博客
06-19 408
推荐开源项目:ScanCVE - 实时GitHub CVE扫描与预警系统 项目地址:https://gitcode.com/grayddq/ScanCVE 1、项目介绍 在信息化高速发展的今天,网络安全至关重要。ScanCVE(版本0.1)是一款高效实用的开源工具,它专注于定期扫描GitHub,以监测新的CVE(Common Vulnerabilities and Exposures)安全漏洞信息...
cvelist:通过GitHub提交CVE的试验程序
02-10
CVE自动化工作组Git试点 正在尝试使用git共享有关公共漏洞的信息。 目的不仅是要了解支持发送和接收数据的“管道连接”所需的功能,而且还要了解CVE格式需要哪些属性和元数据来支持自动化。 有关参与此试验的详细信息,请参见。 该存储库保存使用的包含的信息。 在此存储库中使用CVE信息应遵守。 存储库概述 有关每个CVE ID的信息将作为唯一文件存储在子目录中的仓库中,该文件基于年份以及ID的数字部分(截断为1,000)。 因此, 适用于CVE-2017-3000-CVE-2017-3999,而适用于CVE-2017-1002000-CVE-2017-1002999。 如果有更改,CVE团队将使用CVE列表中的信息每小时自动更新这些文件。 同步作业将在小时开始时启动,并应在5分钟内完成。 对于已填充的ID,文件包含在中显示的描述和参考。 它们还可能包含有关受影响产品和问题类型的信
CVE 官网提交流程
qq_44172732的博客
07-08 1357
CVE申请流程
CVE申请过程
weixin_50464560的博客
07-05 3998
CVE申请的那些事在上一篇分享《安全小白面试的那些坑》中和大家提到面试的时候可以在简历中附上提交过的原创漏洞如CVE、CNVD编号等信息,以证明自己在漏洞挖掘方面的技术经验和能力。本文将和大家分享申请CVE的方法和技巧。什么是CVE对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这
CVE申请
dtf_csy的博客
12-14 935
一、如何去申请CVE编号? 大体上分为以下两种: 第一种:找Participating CNA要CVE编号 Participating CNA的意思就是参与CNA,可以理解为参与CVE计划的公司或项目发起者,总之就是有产品拿出来让大家挖漏洞的,这些CNA有一个列表CNA列表,按照列表中给的联系方式和CNA厂商直接联系获取CVE 邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁 第二种:找Primary CNA要CVE编号(公开披露) 找主CNA要编号,也就是MIT
CVE申请的那些事
Fly_鹏程万里
07-19 3289
什么是CVE 对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这里查找不同应用或系统的漏洞信息。当然很多安全企业或国家机构也都会引用CVE作为其漏洞库,比如美国国家漏洞...
cve_monitor:使用Github Actions自动监视github cve
04-07
使用Github Actions自动监视github cve 更新时间:2021-04-07 01:33:37.122647总计:4757 vRealize RCE + Privesc(CVE-2021-21975,CVE-2021-21983,CVE-0DAY-?????) : 创建时间:2021-04-06T23:24:38Z ...
cve_feeds:从NVD和GitHub下载CVE提要
02-08
此存储库包含有关最近和修改的CVE的和GitHub安全咨询数据。 定期使用GitHub操作下载数据。 然后使用CloudBuild触发器将该json数据转换为适合使用Data Studio进行可视化的BigQuery数据。 数据工作室仪表板
eonx-github-actions-container-scan:用于执行CVE漏洞扫描的GitHub操作
04-13
容器扫描GitHub操作在OpsGenie中执行CVE漏洞扫描并发出警报的GitHub措施。
github-cve-monitor:监控github上添加的cve编号项目裂缝,推钉钉或者服务器酱
03-04
github-cve-monitor 监控github上添加的cve编号项目扩展,插入钉钉或者服务器酱 python3 -m pip安装dingtalkchatbot 每3分钟检测一次github是否有新的cve扩展提交记录,若有则通过服务器酱和钉钉机器人推动(同时配置一个即可) 时间间隔修改在58行 建议使用运行在自己的linux vps后台上,就可以愉快的接收各种cve了 screen -S github_cve #创建一个screen,名字为github_cve,在新窗口运行本项目, 成功后直接叉掉该窗口, 项目就会在后台一直运行了 screen -ls #查看创建的screen screen -r github_cve #连接github_cve后台screen,如果存在的话 钉钉机器人配置在33行的dingding函数中,需要钉钉建群,添加钉钉机器人,复制webhook
CVE申请系列(2)——CVE申请流程
Kni9hT's Blog
01-28 2814
接上次写的(春节浪了大半个月没干活了…)这次来学习一下CVE的申请流程。 上次讲到CVE编号授予机构CNA,我们要申请CVE编号,肯定是要向CNA申请。 申请CVE大致分为三种情况: 一、(Participating CNA)CNA是参与CVE计划的公司或者项目发起者 二、(Primary CNA)CNA是MITRE官方 三、(Distributed Weakness Filing Project...
github-cve-monitor 部署
stars的博客
05-01 915
目录 0x01 工具介绍 0x02 部署 0x03 运行脚本 0x04 效果 0x01 工具介绍 github-cve-monitor 是一个实时监控github上新增的cve和安全工具更新程序 下载地址:yhy0/github-cve-monitor: 实时监控github上新增的cve和安全工具更新,多渠道推送通知 0x02 部署 下载程序,上传到LInux服务器中,然后编辑配置文件config.yml,配置推送设置钉钉或其他,被刺测试使用钉钉: 建立群聊(可以单人建群)
推荐开源项目:GitHub CVE 监控工具
gitblog_00075的博客
04-03 453
推荐开源项目:GitHub CVE 监控工具 项目地址:https://gitcode.com/yhy0/github-cve-monitor GitHub CVE Monitor 是一个强大的自动化工具,用于监控 GitHub 上的项目,及时发现并报告潜在的安全漏洞(CVE)。该项目基于 Python 编写,利用 GitHub API 实现实时扫描和通知,帮助开发者快速响应安全风险,保障项目的稳...
什么是CVE?常见漏洞和暴露列表概述
热门推荐
Trinity_Techologies的博客
05-18 1万+
常见漏洞和暴露(Common Vulnerability and Exposures,简称CVE)收集了已知的网络安全漏洞和暴露,以帮助您更好地保护您的嵌入式软件。 在这里,我们会阐释什么是CVECVE列表中包括哪些内容,以及它如何帮助确保您的软件是安全的。
2020-10-04
qq_45618121的博客
10-04 229
漏洞: xss csrf 点击劫持 sql注入 文件上传漏洞 ///////////////////// 漏洞利用: sqlmap beef-xss __________//////////////////__ 工具 burpsuite namp 御剑 awvs Hydra Metasploit
CVE漏洞是什么,如何对其进行针对性的防护
HoewDec的博客
04-07 1259
除此之外也可以考虑使用漏洞扫描服务 VSS,漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。CVE只是一个漏洞描述的标准,是一个关于漏洞的列表,如果想更好的利 用它,那么建立一个完善的数据库系统是非常必要的。因此,实际上,CVE是一个已知示例的列表,而CWE是一本软件漏洞的参考书。
编写一段代码,可以实现自动提交cve
08-04
### 回答1: 代码如下:import requestsdef auto_submit_cve(url, data): response = requests.post(url, data) if response.status_code == 200: print("CVE提交成功!") else: print("CVE提交失败!") ### 回答2: 实现自动提交CVE的代码是一个非常复杂和敏感的任务,涉及到安全漏洞的披露和修复过程。 首先,自动提交CVE所需要的信息包括漏洞描述、漏洞影响、漏洞代码、修复建议等,这些信息需要通过对漏洞的详细分析和测试得出。因此,在编写这样的代码之前,需要有强大的漏洞挖掘和安全分析能力。 其次,自动提交CVE同时也需要考虑众多的安全和合规性要求。需要确保提交CVE信息是准确、完整和合规的,并且不能侵犯任何相关法律、法规和隐私政策。 最后,自动提交CVE的过程需要与CVE数据库的接口进行交互,这需要和CVE数据库的管理员进行合作和沟通,以确保CVE信息被正确地记录和发布。 综上所述,实现自动提交CVE的代码是一项复杂而且敏感的任务,需要强大的漏洞挖掘和分析能力,以及与CVE数据库管理员的合作。不仅如此,还需要考虑众多的安全和合规性要求。正因为如此,自动提交CVE的代码在实际应用中并不常见,而且需要严格控制和审查。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值