簡介
隨著越來越多關(guān)注漏洞披露對于企業(yè)和應(yīng)用所帶來的影響,通過國內(nèi)平臺披露漏洞也越來越受到關(guān)注。不同平臺上披露漏洞的流程有所不同,剛好借此機(jī)會進(jìn)行總結(jié)。
CNVD披露流程
1、需要在www.cnnvd.org.cn注冊一個(gè)賬號。注冊賬號的鏈接為:www.cnvd.org.cn/user/regist ,注冊時(shí)別忘記閱讀上報(bào)須知www.cnvd.org.cn/sbxz。
如例圖所示,填寫詳細(xì)的信息。
2、登錄的鏈接為www.cnvd.org.cn/user/login,登錄窗口填寫剛才注冊的用戶名和密碼即可登錄成功。
如圖所示。
3、成功登錄后記得先修改個(gè)人信息,如果工作單位為空,默認(rèn)是個(gè)人。這個(gè)會影響到漏洞證明上的信息。
如圖所示。
4、如果要上報(bào)漏洞選擇 漏洞上報(bào)->立即上報(bào)漏洞 會進(jìn)入上報(bào)漏洞頁面,上報(bào)分為事件型漏洞和通用型漏洞。
如圖所示。
5、上報(bào)頁面之中找到 基本信息->漏洞所屬類型 可以區(qū)分提交事件型還是通用型。不同類型需要的信息不同,按照實(shí)際情況提交即可。
如圖所示。
6、上報(bào)時(shí)候需要注意,黑盒方式提交漏洞需要至少十個(gè)互聯(lián)網(wǎng)之中受影響案例,白盒方式則需要詳細(xì)的代碼審計(jì)過程或者逆向過程。
通常提交附件為 word報(bào)告+POC/EXP+待測試程序+復(fù)現(xiàn)操作錄屏 的壓縮包(我一般是空密碼)。
獲得證明的標(biāo)準(zhǔn)如下:
通用型
中危及中危以上的通用性漏洞(CVSS2.0基準(zhǔn)評分超過4.0) 軟件開發(fā)商注冊資金大于等于5000萬人民幣或者涉及黨政機(jī)關(guān)、重要行業(yè)單位、科研院所、重要企事業(yè)單位(如:中央國有大型企業(yè)、部委直屬事業(yè)單位等)的高危事件型漏洞 通用型漏洞得十個(gè)網(wǎng)絡(luò)案例以上
事件型
事件型漏洞必須是三大運(yùn)營商(移動、聯(lián)通、電信)的中高危漏洞,或者黨政機(jī)關(guān)、重要行業(yè)單位、科研院所、重要企事業(yè)單位(如:中央國有大型企業(yè)、部委直屬事業(yè)單位等)的高危事件型漏洞才會頒發(fā)原創(chuàng)漏洞證書
CNNVD披露流程
1、CNNVD 提交漏洞之前需要準(zhǔn)備一個(gè)郵箱,郵箱可以為企業(yè)郵箱或者個(gè)人郵箱。
通過電子郵箱 vulpro@itsec.gov.cn 接收漏洞,
2、需要注重郵件的格式,格式如下:
提交漏洞時(shí),建議郵件遵循以下格式:
郵件主題為漏洞名稱(如:XX產(chǎn)品XX漏洞);
郵件內(nèi)容包含“漏洞報(bào)送單位+提交人員姓名+聯(lián)系電話”;
其他內(nèi)容如所提交信息如有保密、隱私等特殊要求,應(yīng)在提交時(shí)說明;
常用的郵件模板:
title: Weblogic 12 產(chǎn)品 反序列化漏洞
郵件內(nèi)容:XXX公司+張三+188XXXXXXXX 特殊要求:無
3、提交通用型漏洞驗(yàn)證錄像和POC,輔助漏洞處置工作。一定要按照標(biāo)準(zhǔn)壓縮格式提交郵件附件,標(biāo)準(zhǔn)格式附件樣例:
通用型漏洞標(biāo)準(zhǔn)壓縮格式下載
事件型漏洞標(biāo)準(zhǔn)壓縮格式下載
4、提交漏洞后,CNNVD將會在1個(gè)工作日內(nèi)予以確認(rèn)回復(fù),如未收到漏洞提交成功的回執(zhí)郵件,請您重新提交或與CNNVD聯(lián)系。
審核編輯:劉清
-
PoC
+關(guān)注
關(guān)注
1文章
67瀏覽量
20415 -
Exp
+關(guān)注
關(guān)注
0文章
7瀏覽量
8298 -
CVSS
+關(guān)注
關(guān)注
0文章
4瀏覽量
2241
原文標(biāo)題:干貨 | 個(gè)人報(bào)CNVD和CNNVD披露漏洞教程
文章出處:【微信號:菜鳥學(xué)信安,微信公眾號:菜鳥學(xué)信安】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論