CNVD通用证书挖掘思路

admin 2025年2月6日20:35:06评论31 views字数 1228阅读4分5秒阅读模式
  请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
  先说一下我吧,我一般在CNVD提交漏洞都是为了拿到证书,毕竟是国家单位颁发的,还是有点用的。达不到证书发放条件的我一般选择在其他正规平台提交,相信大家都懂的。
  那么想要获取证书,首先要知道平台对对漏洞颁发证书的条件。进入CNVD官网右上角选择工作体系-奖励计划中会有明确说明。
CNVD通用证书挖掘思路

对于通过CNVD归档的原创漏洞,CNVD将对漏洞进行原创漏洞奖金积分评分。积分评定具体参见《CNVD原创漏洞积分评分细则》。

时限要求:在漏洞归档后1个工作日内。

对于中危及中危以上通用型漏洞(CVSS2.0基准评分超过4.0分),以及涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞(后续对事件型漏洞证明颁发标准将参考中央网信办颁布的关键基础设施相关定义和分类),CNVD将给予原创漏洞证明(即CNVD漏洞证书,电子版),该证明可通过编号在CNVD官方网站进行查询跟踪。

时限要求:按周对上一周归档漏洞且满足证书颁发条件的进行批量制作。

总结一下就是以下几点:通用型漏洞一是所涉及的产品厂商注册资金不低于5000W,二是提供最少10个复现案例,并复现其中3个。漏洞级别为中危及以上。

事件型漏洞,涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞(后续对事件型漏洞证明颁发标准将参考中央网信办颁布的关键基础设施相关定义和分类),CNVD将给予原创漏洞证明。

平时其实跟大家一样,都是FOFA、鹰图、零零信安等类似的资产收集平台去搜索关键字、指纹特征等去搜索。

也可以多去参考其他老师的文章,多方面下手,这样会更好的掌握方法,我目前都是放弃登陆框的漏洞挖掘,个人感觉不如逻辑、跟未授权,因为开发过程中程序员不总是在绕逻辑。

那么提交漏洞后就是一个比较漫长的等待,三轮审核,一审、二审、三审,时间一般在一个月左右吧,但是最近我发现这段时间的审核周期更长了,不过也不要太着急,都会给审核的,提交后也要定期关注一下,可能有材料或者佐证信息不足的退回修改的,及时修改再提交。

CNVD通用证书挖掘思路

满足条件的,证书会自动发放到账户。

CNVD通用证书挖掘思路

希望各位老师多多拿到证书,早日拿到证书。

CNVD通用证书挖掘思路
CNVD通用证书挖掘思路
CNVD通用证书挖掘思路

28533;37
CNVD通用证书挖掘思路

使

原文始发于微信公众号(什么安全):CNVD通用证书挖掘思路

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月6日20:35:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CNVD通用证书挖掘思路https://cn-sec.com/archives/3705917.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息