CNVD漏洞證書（1）

之前申請了CNVD原創漏洞，踩了坑，記錄一下

有很多師傅寫過相關的文章：

https://blog.csdn.net/qq1124794084/article/details/82657840

https://www.cnvd.org.cn/webinfo/show/3933

https://www.secpulse.com/archives/125008.html

 

對於申請證書，如圖：

 

 

您好，

      來信已收到，黑盒測試案例滿10起且漏洞已歸檔，會根據CNVD證書頒發條件來頒發證書。

        歸檔漏洞的證書頒發條件為：（1）對於中危及中危以上通用型漏洞（CVSS2.0基准評分超過4.0分）（除小廠商的產品、非重要APP、黑盒測試案例不滿10起等不頒發證書），（2）涉及電信行業單位（中國移動、中國聯通、中國電信及中國鐵塔公司）和中央部委級別(不含直屬事業單位)的高危事件型漏洞，CNVD將給予原創漏洞證明（即CNVD漏洞證書，電子版），該證明可通過編號在CNVD官方網站進行查詢跟蹤。

     時限要求：按周對上一周歸檔漏洞且滿足證書頒發條件的進行批量制作。（每周三或周四頒發證書）

祝好！

　　

可以看出來需要滿足：1，>=中危，評分>=4.0，!=（不等於）小廠商，黑盒測試案例>=10 才可以獲得證書，事件型的CNVD證書在這里不討論。

其實如果是小廠商的話也很難找到十個以上的互聯網案例，白盒測試的話聽其他師傅說案例數好像不需要10個這么多。

在CNVD提交通用漏洞必須復現至少3例，所以漏洞案例盡量越多越好！

我最開始的一個萬能密碼登錄繞過的漏洞，就是因為案例數小於10，才沒有證書的 :(

白等了好久。。。

 

另外通用型漏洞的挖掘，其實就是  黑盒挖掘：正常的漏洞挖掘+批量  白盒挖掘：代碼審計+批量

最后這個弱口令通用得了證書。。。弱口令也能得證書？好像CMS通用弱口令不能拿證書，網絡設備弱口令可以。