什么是CVE
CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
CVE的官网
CVE提交地址
CVE提交的技巧
1、在github上寻找目标找漏洞
2、在github上提交Issues
3、通过https://cveform.mitre.org/提交
CVE提交不需要通用,只需要单个事件型的就可以提交,大到二进制漏洞小到敏感信息泄露、CSRF都可以提交,而且只要没重复否能过,只要能访问到
CVE的提交需要做的准备
- github的账户,用来写漏洞文章或者去开源项目下留下留言,以证明漏洞
- 谷歌邮箱,因为CVE的发放需要邮箱作为媒介,如果你使用139邮箱这种国内的,结果可能不是很理想
- 百度翻译,CVE提交需要英文方式提交,所以为了能更快的通过,github的Issues和文章需要英文写
CVE的提交步骤
在github找到漏洞之后,需要通报厂商Issues
这一步的目的是为了厂商通报,建议选取开源项目,需厂商确认,否则CVE不一定会下发成功 (https://github.com/liufee/cms/issues)
在开源项目厂商留言截图后,就可以去快乐的提交了
可能有人问,那如果是设备的漏洞或者是互联网上非开源项目能提交吗?怎么提交?
花样作死小技巧,github装逼博客
之后选择 “settings->pages->Choose a theme”
随意选个主题就好了,点击“select theme”
新增一个readme,用来写漏洞细节,当然了你也可以从代码里写
写好之后,点击保存即可
那么写好之后如何去访问这个项目呢?
ok,准备工作都完毕了,等待CVE邮件回复即可
收到回复之后,你也可以给人家写骚扰信,开玩笑的,这之后只需要等半个来月即可
总结:这玩意比CNVD原创漏洞证书来的简单