什麼是CVE
CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一個字典表,為廣泛認同的資訊安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。
CVE的官網
http://cve.mitre.org/.
CVE送出位址
https://cveform.mitre.org/.
CVE送出的技巧
1、在github上尋找目标找漏洞
2、在github上送出Issues
3、通過https://cveform.mitre.org/送出
CVE送出不需要通用,隻需要單個事件型的就可以送出,大到二進制漏洞小到敏感資訊洩露、CSRF都可以送出,而且隻要沒重複否能過,隻要能通路到
CVE的送出需要做的準備
- github的賬戶,用來寫漏洞文章或者去開源項目下留下留言,以證明漏洞
- 谷歌郵箱,因為CVE的發放需要郵箱作為媒介,如果你使用139郵箱這種國内的,結果可能不是很理想
- 百度翻譯,CVE送出需要英文方式送出,是以為了能更快的通過,github的Issues和文章需要英文寫
CVE的送出步驟
在github找到漏洞之後,需要通報廠商Issues
這一步的目的是為了廠商通報,建議選取開源項目,需廠商确認,否則CVE不一定會下發成功 (https://github.com/liufee/cms/issues)
在開源項目廠商留言截圖後,就可以去快樂的送出了
可能有人問,那如果是裝置的漏洞或者是網際網路上非開源項目能送出嗎?怎麼送出?
花樣作死小技巧,github裝逼部落格
https://github.com/.
之後選擇 “settings->pages->Choose a theme”
随意選個主題就好了,點選“select theme”
新增一個readme,用來寫漏洞細節,當然了你也可以從代碼裡寫
寫好之後,點選儲存即可
那麼寫好之後如何去通路這個項目呢?
ok,準備工作都完畢了,等待CVE郵件回複即可
收到回複之後,你也可以給人家寫騷擾信,開玩笑的,這之後隻需要等半個來月即可
總結:這玩意比CNVD原創漏洞證書來的簡單