之前申请了CNVD原创漏洞,踩了坑,记录一下
有很多师傅写过相关的文章:
https://blog.csdn.net/qq1124794084/article/details/82657840
https://www.cnvd.org.cn/webinfo/show/3933
https://www.secpulse.com/archives/125008.html
对于申请证书,如图:
您好,
来信已收到,黑盒测试案例满10起且漏洞已归档,会根据CNVD证书颁发条件来颁发证书。
归档漏洞的证书颁发条件为:(1)对于中危及中危以上通用型漏洞(CVSS2.0基准评分超过4.0分)(除小厂商的产品、非重要APP、黑盒测试案例不满10起等不颁发证书),(2)涉及电信行业单位(中国移动、中国联通、中国电信及中国铁塔公司)和中央部委级别(不含直属事业单位)的高危事件型漏洞,CNVD将给予原创漏洞证明(即CNVD漏洞证书,电子版),该证明可通过编号在CNVD官方网站进行查询跟踪。
时限要求:按周对上一周归档漏洞且满足证书颁发条件的进行批量制作。(每周三或周四颁发证书)
祝好!
可以看出来需要满足:1,>=中危,评分>=4.0,!=(不等于)小厂商,黑盒测试案例>=10 才可以获得证书,事件型的CNVD证书在这里不讨论。
其实如果是小厂商的话也很难找到十个以上的互联网案例,白盒测试的话听其他师傅说案例数好像不需要10个这么多。
在CNVD提交通用漏洞必须复现至少3例,所以漏洞案例尽量越多越好!
我最开始的一个万能密码登录绕过的漏洞,就是因为案例数小于10,才没有证书的 :(
白等了好久。。。
另外通用型漏洞的挖掘,其实就是 黑盒挖掘:正常的漏洞挖掘+批量 白盒挖掘:代码审计+批量
最后这个弱口令通用得了证书。。。弱口令也能得证书?好像CMS通用弱口令不能拿证书,网络设备弱口令可以。
