个人报CNVD和CNNVD披露漏洞教程

admin 2022年1月12日01:36:22安全闲碎评论24 views1356字阅读4分31秒阅读模式

原文地址

https://www.freebuf.com/articles/network/317282.htm

简介

随着越来越多关注漏洞披露对于企业和应用所带来的影响,通过国内平台披露漏洞也越来越受到关注。不同平台上披露漏洞的流程有所不同,刚好借此机会进行总结。

CNVD披露流程

1、需要在www.cnnvd.org.cn注册一个账号。注册账号的链接为:www.cnvd.org.cn/user/regist ,注册时别忘记阅读上报须知www.cnvd.org.cn/sbxz。
如例图所示,填写详细的信息。
个人报CNVD和CNNVD披露漏洞教程
2、登录的链接为www.cnvd.org.cn/user/login,登录窗口填写刚才注册的用户名和密码即可登录成功。
如图所示。
个人报CNVD和CNNVD披露漏洞教程
3、成功登录后记得先修改个人信息,如果工作单位为空,默认是个人。这个会影响到漏洞证明上的信息。
如图所示。
个人报CNVD和CNNVD披露漏洞教程
4、如果要上报漏洞选择 漏洞上报->立即上报漏洞 会进入上报漏洞页面,上报分为事件型漏洞和通用型漏洞。
如图所示。
个人报CNVD和CNNVD披露漏洞教程
5、上报页面之中找到 基本信息->漏洞所属类型 可以区分提交事件型还是通用型。不同类型需要的信息不同,按照实际情况提交即可。
如图所示。
个人报CNVD和CNNVD披露漏洞教程
6、上报时候需要注意,黑盒方式提交漏洞需要至少十个互联网之中受影响案例,白盒方式则需要详细的代码审计过程或者逆向过程。通常提交附件为 word报告+POC/EXP+待测试程序+复现操作录屏 的压缩包(我一般是空密码)。

获得证明的标准如下:

通用型
中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0) 软件开发商注册资金大于等于5000万人民币或者涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞 通用型漏洞得十个网络案例以上
事件型
事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书

CNNVD披露流程

1、CNNVD 提交漏洞之前需要准备一个邮箱,邮箱可以为企业邮箱或者个人邮箱。通过电子邮箱 [email protected] 接收漏洞,如有相关问题,请联系:010-82341115。漏洞上报则需要先阅读http://www.cnnvd.org.cn/web/wz/tzdym.tag?sign=addvulnerability。
2、需要注重邮件的格式,格式如下:
提交漏洞时,建议邮件遵循以下格式:
邮件主题为漏洞名称(如:XX产品XX漏洞);
邮件内容包含“漏洞报送单位+提交人员姓名+联系电话”;
其他内容如所提交信息如有保密、隐私等特殊要求,应在提交时说明;
常用的邮件模板:
title: Weblogic 12 产品 反序列化漏洞
邮件内容:XXX公司+张三+188XXXXXXXX 特殊要求:无
3、提交通用型漏洞验证录像和POC,辅助漏洞处置工作。一定要按照标准压缩格式提交邮件附件,标准格式附件样例:
通用型漏洞标准压缩格式下载
事件型漏洞标准压缩格式下载
4、提交漏洞后,CNNVD将会在1个工作日内予以确认回复,如未收到漏洞提交成功的回执邮件,请您重新提交或与CNNVD联系。

原文始发于微信公众号(阿乐你好):个人报CNVD和CNNVD披露漏洞教程

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月12日01:36:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  个人报CNVD和CNNVD披露漏洞教程 http://cn-sec.com/archives/733529.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: