0x00 前言
当你黑盒或者白盒挖到一个漏洞时,你可以去CNVD 或者CVE直接去申请一个编号,但CNVD资产需5kw才能有证书,而CVE,基本上就是你交了洞,他就会收的,除非重复了.
比如像这种洞,CVE同样也会收录的,当然,最好是那种原创的洞,你能证明原创就行.
0x01 挖洞小技巧
你还可以通过去CVE去搜索公开的漏洞,一般都是什么 xxxx system V 1.0 这种在 itsourcecode.com 里能直接下载到源码的,他的源码一般都是那种全是洞的系统。
像这种,很明显的SQL注入,就算是后台洞也能申请CVE的,你直接可以把他的源码下载来,直接去审计,交洞,因为这种已经给交过了,所以90%会给CVE编号。
当然,这些都是水洞,像那种大框架的洞,也是没那么难挖的,最重要的是有耐心,仔细去看其系统是否存在缺陷.
0x02 申请小技巧
可能大家看到的有在github上提交issues那种形式的洞,整体都是英文的,其实可以直接写中文的去交,不用那么麻烦还要去转英文,这里推荐一个Wiki 安全团队贡献平台 (F12Sec).
https://wiki.shikangsi.com/
里面基本上每天都有人去收录提交最新Nday 1day 包括0day也有,不过占比比较小,还有某些edusrc 企业src 的漏洞,也是有公开的,确实能学到东西,这里不多讲了。
最重要的是他这个平台有申请CVE的 绿色通道,首先需要在上面提交一个洞,勾上私密类型,原创类型勾上,然后注明代申请CVE,wiki平台的管理员就会帮你直接去申请CVE,这里走的绿色通道,一般6天左右直接出编号.
PS:这里大家可以去申请一个花瓣邮箱,到时候可能会用到.
原文始发于微信公众号(星悦安全):手把手教你怎么申请CVE(绿色通道Wiki)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论