对于通过CNVD归档的原创漏洞,CNVD将对漏洞进行原创漏洞奖金积分评分。积分评定具体参见《CNVD原创漏洞积分评分细则》。
时限要求:在漏洞归档后1个工作日内。
对于中危及中危以上通用型漏洞(CVSS2.0基准评分超过4.0分),以及涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞(后续对事件型漏洞证明颁发标准将参考中央网信办颁布的关键基础设施相关定义和分类),CNVD将给予原创漏洞证明(即CNVD漏洞证书,电子版),该证明可通过编号在CNVD官方网站进行查询跟踪。
时限要求:按周对上一周归档漏洞且满足证书颁发条件的进行批量制作。
总结一下就是以下几点:通用型漏洞一是所涉及的产品厂商注册资金不低于5000W,二是提供最少10个复现案例,并复现其中3个。漏洞级别为中危及以上。
事件型漏洞,涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞(后续对事件型漏洞证明颁发标准将参考中央网信办颁布的关键基础设施相关定义和分类),CNVD将给予原创漏洞证明。
平时其实跟大家一样,都是FOFA、鹰图、零零信安等类似的资产收集平台去搜索关键字、指纹特征等去搜索。
也可以多去参考其他老师的文章,多方面下手,这样会更好的掌握方法,我目前都是放弃登陆框的漏洞挖掘,个人感觉不如逻辑、跟未授权,因为开发过程中程序员不总是在绕逻辑。
那么提交漏洞后就是一个比较漫长的等待,三轮审核,一审、二审、三审,时间一般在一个月左右吧,但是最近我发现这段时间的审核周期更长了,不过也不要太着急,都会给审核的,提交后也要定期关注一下,可能有材料或者佐证信息不足的退回修改的,及时修改再提交。
满足条件的,证书会自动发放到账户。
希望各位老师多多拿到证书,早日拿到证书。
小知识
声明
原文始发于微信公众号(什么安全):CNVD通用证书挖掘思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论