如何将自己做的网页做成网站,电视剧下载网站 免费糖醋蒜怎样做,海口建站软件,1.网站建设分为哪几个阶段前言 本篇文章主要是分享一下本人挖掘CVND漏洞碰到的一些问题#xff0c;根据过往成功归档的漏洞和未归档的漏洞总结出的经验#xff0c;也确实给审核的大佬们添了很多麻烦#xff08;主要真的没人教一下#xff0c;闷着头尝试犯了好很多错误#xff0c;希望各位以后交一个…前言 本篇文章主要是分享一下本人挖掘CVND漏洞碰到的一些问题根据过往成功归档的漏洞和未归档的漏洞总结出的经验也确实给审核的大佬们添了很多麻烦主要真的没人教一下闷着头尝试犯了好很多错误希望各位以后交一个通过一个。当然也一定要注意测试资产的范围、尺度和授权问题 首先是大家关注的肯定都是CNVD漏洞的收录和证书颁发的标准这个其实在我加入到CNVD官方交流群后通过大佬们的交流发现这个规则在近几年是一直在一步步完善的我这里只能大概说一下最近的标准保不齐几年后规则会有些许变化。CNVD官方交流群需要挖掘三个归档的漏洞然后才能申请进群的大佬们如果有的话可以进群关注一下群里消息有些问题可以在群里反馈
一、事件型漏洞的收录标准 只对事业单位、政府机关、国有企业、中央企业的漏洞进行收录。当然也有一些例外部分的 群众性团体组织 也会收录但是听大佬说好像最近不收了这个概念就很模糊没有明确定义有时候对事业单位和国有企业的收录也会出现问题但是这些问题都可以通过CNVD的邮箱进行反馈沟通问题下面针对这两种可能出现的问题举例一下
①有一次提交了一个事业单位的命令执行漏洞但是该单位的名称是 XX市物业维修基金管理中心 看名字实在想不到这是一个事业单位通过网上对其信息进行检索确认是事业单位没问题但是CNVD不认这就很无奈。当然也不排除我使用的网站查询的备案记录有问题 顺便补充一下下图这类的反馈就证明该资产单位的漏洞CNVD不收状态为 暂不归档
网站备案查询工具ICP备案查询_APP及小程序备案查询 - 站长工具 ②也是某一次提交事业单位的文件上传漏洞该单位的名称是某某康复医院同样是对该资产不进行收录虽然医院名字比较奇怪但是资产检索也是没问题的
③再就是一些对国有企业的漏洞信息提交了这个拒收次数还是比较多的经过多次尝试后大概猜测可能是对国有企业的股份资产的比例和对于地方国企、大型国企也有区分判断下面举例佐证我的猜测当然这个定义本身也比较模糊没办法说百分百是这样 我是直接百度查找该公司是否为国企的主要看爱企查中对该公司归属的判断 二、事件型漏洞的颁发原创漏洞证明的标准 这里我就直接用CNVD官方群公告里的原话了总结一下就是很难通过该方法获取证书全靠运气千万别为了一个证书给自己搭进去 涉及电信行业单位中国移动、中国联通、中国电信及中国铁塔公司和中央部委级别(不含直属事业单位)的高危事件型漏洞 三、通用型漏洞的收录标准 这个目前了解的单单对于收录来说是没有什么特别的标准只不过需要网络中确实有多个此资产总不能自研的系统只有一个单位或者个人在用发现漏洞上报以后也判断为通用型漏洞。在就是需要证明资产归属确实是同一个可以不同版本资产且能证明该资产确实属于某某公司开发的产品。
而通用漏洞报告的证明方式是有两种的 一种是需要对系统进行代码审计审计出漏洞以后结合审计的代码复现漏洞然后上报。这种方法不用上报资产示例所以可能会出现分歧就像我上面说的一样审核人员是会查资产的。不过个人认为这个方法是比较稳妥的很多大佬也都是通过此类方法 另一种是需要十例网络资产复现漏洞再进行上报。最低要求是必须有3个成功复现的案例需要有复现的过程和结果截图然后网络中有十例资产且至少5例能成功复现该漏洞当然不排除审核人员复现的时候有部分示例资产漏洞无法复现的所以能多写点还是多写点。 另外漏洞的证明是不限制方式的除了可以通过编写报告证明漏洞还可以通过录制视频来证明漏洞
四、通用型漏洞的颁发原创漏洞证明的标准 这也是大部分人获取CNVD证书的方式这里我同样借用CNVD官方群里的公告 对于中危及中危以上通用型漏洞CVSS2.0基准评分超过4.0分除小厂商的产品、非重要APP、黑盒测试案例不满10起等不颁发证书 这里只说明了除 小厂商 、非重要APP 但并没有规定多少。目前师傅们是口口相传对于 大厂商 的定义是需要实际缴纳资本达到5000万只看注册资本是不行的但是好像有些应用比较多的系统或设备资产但没到实缴资本5000万的也会颁发证书而对于 重要APP 这个定义更是没有说明目前来看是需要看APP的下载量的。所以最终解释权还是在CNVD官方但是他们貌似从来没有发布过明确的规定如果有明白的大佬也请说明一下
五、漏洞编号和证书编号格式
①漏洞提交编号CNVD-C-年份-编号只是提交了没有收录
②漏洞归档编号CNVD-年份-编号提交并收录了
③原创漏洞证明编号CNVD-YCGN-编号、CNVD-YCGW-编号、CNVD-YCGS-编号 这里对于原创漏洞证明编号只是举例一下YCGN是网络设备、YCGW是web应用、YCGS是安全产品而CNVD收录的漏洞种类是比较多的肯定还有其他种类只是我没见过
六、危害级别 危害级别就相当于对漏洞进行评分也是高中低危评判的标准评分是从攻击途径、攻击复杂度、认证、机密性、完整性、可用性六个维度进行考量的 低危4分中危4分7分高危7分 不过这好像不完全对我写这个文章的时候就见到了一个评分7.8分但是归到了低危里面我也不懂为什么只能怀疑是系统出错误了 漏洞评分达到10分的就是不需要任何认证不需要进行登录的远程命令执行这种漏洞漏洞等级也是高级 七、审核速度
事件型一般事件型漏洞审核速度是很快的这里放一下官网给的原话。 事件型漏洞验证不超过1个工作日通报到涉事单位时间不超过3个工作日。 事件型漏洞基本上是上午10点前提交审核没有问题的话晚上6点前是能归档的。而下午提交就需要等到第二天才能归档。 当然也有特殊情况比如节假日和护网期间护网期间以及结束后一段时间内漏洞太多了可能会出现处理不过来不过通常是优先处理事件型漏洞
通用型通用型漏洞相对审核速度要慢一些这里同样放一下官网给的原话。 通用型漏洞验证取决于复现条件通报到厂商时间不超过5个工作日。对于处置周期视处置难度和修复情况而定。 通用型漏洞提交后正常的话会在三天内进行一审、二审而三审大概在两周内因为厂家也需要进行整改所以有的也会长一些可能需要一个月时间。 同样在节假日和护网期间这些特殊情况处理会慢一些护网期间以及结束后一段时间内漏洞太多了导致两个月甚至更长才审核完成的情况也是有的 CNVD公告地址 https://www.cnvd.org.cn/webinfo/show/3933 成功归档后且符合漏洞证书条件都会在下一个周的周三、周四统一制作证书并发放也存在提前发放的先例但是如果不是节假日过了时间还没发很可能就是不符合条件了 个人在各个SRC平台提交漏洞的经验感觉来说CNVD的审核和证书以及奖励发放速度应该可以算是最快的了还是比较好的
八、荣誉值和积分 一般原创漏洞积分会在漏洞归档后1~3天内发放大家归档以后也不用着急。而这里就是按照官方公告直接来看就可以了简单说一下就是资产单位越厉害漏洞危害越大分就越高而通用漏洞会在这个基础上高一些最少就是0.1分。这里直接附带上官方发的计算公式以及公告文件大家可自行查看研究 CNVD公告地址 https://www.cnvd.org.cn/webinfo/show/4815 九、报告书写模板 这里我附带一下我提交的成功归档的漏洞的报告有需要可以参考一下CNVD漏洞报告没有固定模板只要将需要的信息都描述清楚即可
事件型 通用型 十、CNVD挖掘中的错误案例总结
①最开始尝试的时候最大的问题就是不清楚到底收录哪些资产也是通过多次尝试以及收集资料最后总结出来上面对于各种资产的收录问题已经提及过了
②同样是在初期尝试的时候挖掘到的一个任意文件上传的漏洞资产单位是没问题了但是当时这个漏洞文件上传上去之后是没法执行命令的而且最开始被驳回也没弄明白需要做什么就直接重新提交了然后就又被驳回了。其实到现在才想到当时可以上传其他的比如pdf文件做一个储存型XSS漏洞也是经验不足浪费了一个漏洞 ③这个是最搞笑的一直重复提交-驳回-提交-驳回一直到漏洞被修复导致无法复现故而无法归档。这是一个报错注入的漏洞之前同类漏洞直接归档了但是不知道这次的为什么审核一定要让我提交明确的数据库实例名。我来来回回提交了三次第一次只写了POC和执行后的回显第二次补充了一个用注入拿到的当前用户第三次补充了一个注入拿到的数据库没办法不敢用sqlmap也不敢多拿数据 注意千万不要篡改数据千万不要非法获取数据小心使用SQL注入漏洞小心使用任意文件读取漏洞 SQL注入漏洞在可能在注册或者更改信息的接口下会出现写入脏数据或者更改原有信息的情况所以也就要注意使用sqlmap工具 任意文件读取漏洞可能调用的是删除文件的接口确实会有删除文件的接口回显信息的情况删了文件就麻烦了 ④一个未授权访问漏洞拿不到什么有用的数据故而没有通过 ⑤第一次尝试挖掘通用漏洞本来想交一个设备弱口令结果刚好重复了而且通过归档编号来看时间还没差很久就想着正好进系统看看有没有后台漏洞。找到一个任意文件上传同样是没法命令执行只能交了一个后台储存型XSS可惜危害太低故而不收录 ⑥也是一次对通用漏洞的尝试好不容易找到一个漏洞一审、二审都没问题通常来说一审、二审也是比较好通过的只要不重复就没什么问题结果三审的时候需要我证明资产归属因为我的资产信息都是从fofa中导出的被驳回后一一核对资产发现部分资产竟然没法证明属于上报的开发公司没办法只能放弃 尾声 其实工作之后很少再有时间专门去各大SRC平台上挖掘并提交漏洞最近几次提交也是在攻防演练项目中挖掘漏洞后在搜索引擎中发现其他同类资产也存在相同漏洞便提交到漏洞平台经历了一个半月的等待也是通过了审核拿到了我的第一个CNVD证书 最后就是展示一下我在这不到一年的时间内在CNVD中挖掘漏洞的成果虽然经历了多次失败但也是通过这些失败总结了很多经验希望各位大佬每天都能挖出通杀0day
