CNVD披露流程
1、在www.cnnvd.org.cn注冊一個賬號。
注冊賬號的鏈接為:www.cnvd.org.cn/user/regist ,注冊時需閱讀上報須知:www.cnvd.org.cn/sbxz。
2、登錄鏈接為:www.cnvd.org.cn/user/login
3、成功登錄后修改個人信息,如果工作單位為空,默認是個人。這會影響到漏洞證明上的信息。
4、如果要上報漏洞選擇 漏洞上報->立即上報漏洞 會進入上報漏洞頁面,上報分為事件型漏洞和通用型漏洞。
5、上報頁面之中找到 基本信息->漏洞所屬類型 可以區分提交事件型還是通用型。不同類型需要的信息不同,按照實際情況提交即可。
6、上報時候需要注意,黑盒方式提交漏洞需要至少十個互聯網之中受影響案例,白盒方式則需要詳細的代碼審計過程或者逆向過程。
通常提交附件為 word報告+POC/EXP+待測試程序+復現操作錄屏 的壓縮包(可以是空密碼)。
獲得證明的標准
通用型
中危及中危以上的通用性漏洞(CVSS2.0基准評分超過4.0) 軟件開發商注冊資金大於等於5000萬人民幣或者涉及黨政機關、重要行業單位、科研院所、重要企事業單位(如:中央國有大型企業、部委直屬事業單位等)的高危事件型漏洞 通用型漏洞得十個網絡案例以上。
事件型
事件型漏洞必須是三大運營商(移動、聯通、電信)的中高危漏洞,或者黨政機關、重要行業單位、科研院所、重要企事業單位(如:中央國有大型企業、部委直屬事業單位等)的高危事件型漏洞才會頒發原創漏洞證書。
官方的說法(條件):
感謝您對CNVD的支持,對於通過CNVD歸檔的原創漏洞,只頒發
(1)對於中危及中危以上通用型漏洞(CVSS2.0基准評分超過4.0分)(除小廠商的產品、黑盒測試案例不滿10起等不頒發證書)
(2)涉及電信行業單位(中國移動、中國聯通、中國電信及中國鐵塔公司)和中央部委級別(不含直屬事業單位)的高危事件型漏洞,
CNNVD披露流程
1、CNNVD 提交漏洞之前需要准備一個郵箱,郵箱可以為企業郵箱或者個人郵箱。
通過電子郵箱 vulpro@itsec.gov.cn 接收漏洞,如有相關問題,請聯系:010-82341115。
漏洞上報則需要先閱讀http://www.cnnvd.org.cn/web/wz/tzdym.tag?sign=addvulnerability。
2、需要注重郵件的格式,格式如下:
提交漏洞時,建議郵件遵循以下格式:
郵件主題為漏洞名稱(如:XX產品XX漏洞);
郵件內容包含“漏洞報送單位+提交人員姓名+聯系電話”;
其他內容如所提交信息如有保密、隱私等特殊要求,應在提交時說明;
常用的郵件模板:
title: Weblogic 12 產品 反序列化漏洞
郵件內容:XXX公司+張三+188XXXXXXXX 特殊要求:無
3、提交通用型漏洞驗證錄像和POC,輔助漏洞處置工作。一定要按照標准壓縮格式提交郵件附件,標准格式附件樣例:
通用型漏洞標准壓縮格式下載:http://www.cnnvd.org.cn/web/wz/attached/tongyong.zip
事件型漏洞標准壓縮格式下載:http://www.cnnvd.org.cn/web/wz/attached/shijian.zip
4、提交漏洞后,CNNVD將會在1個工作日內予以確認回復,如未收到漏洞提交成功的回執郵件,請您重新提交或與CNNVD聯系。
參考作者:檸檬菠蘿的原文地址:https://www.freebuf.com/articles/network/317282.html
披露案例
這個CNVD證書拿的有點輕松
https://blog.csdn.net/weixin_43580839/article/details/120828501
一起來拿cnvd原創漏洞證書——信息泄露篇
https://xz.aliyun.com/t/9569
記錄一次cnvd挖掘過程(蟻景科技)
https://www.freebuf.com/articles/web/276722.html
小白如何拿到CNVD漏洞證書
https://www.bilibili.com/read/cv6523963/