CVE的全稱是"Common Vulnerabilities and Exposures"翻譯成中文就是"公共漏洞和披露"
網上申請CVE的教程都是從github開源CMS上入手,本篇也不能免俗,如果你已經找到了開源項目的通用漏洞,詳細申請流程請看:
https://www.freebuf.com/news/168362.html
知乎上關於個人挖到漏洞申請CVE的討論:
https://www.zhihu.com/question/49540369
拿到CVE編號的過程平平無奇(或許比使用掃描器掃CMS好一些),是筆者實習期間在對目標廠商的資產進行漏洞挖掘的過程中發現的
目標某系統是使用的開源項目
沒有立刻去下載源代碼進行審計,而是繼續進行黑盒測試
訪問/admin目錄
發現是一片空白
返回根目錄
自動以admin權限跳轉至后台,未授權訪問GET
當然發現該系統很多地方都是未授權,不過我也懶得一個個交混CVE,就這樣趴
如監控實時視頻處
監控回放處
等等
流程大概為:
提交ISSUE->填寫CVE在線申請文檔->收到CVE團隊確認郵件->等待廠商回復->回復->關閉ISSUE->收到CVE郵件
提交ISSUE記得全英文,我這里用的是谷歌翻譯。
最后獲取到CVE郵件編號,洞太菜了,還是把CVE編號高碼吧。
噗噗,用扣扣郵箱申請的。
總結:
有CNVD證書,有CVE是好的,但是也不要過度神化,就一破證明而已,提高自己才是王道,而不是靠垃圾廠商的代碼,也別因為這些東西被割韭菜了,以上