关于漏洞提交的个人见解

本文章仅以CNVD、CNNVD、CVE三个大型公益平台为例,关于SRC另外再说,主要围绕着漏洞挖掘、如何提交、如何拿到证书以及编号等,问题进行阐述.

关于CVE的阐述:
首先说下国际性质的CVE,个人认为CVE最简单也是最好拿到CVE编号的漏洞大多数是cms,当然我这里指的是小众化的,一般大型cms例如Wordpass、oracle、等基本上不是太好挖掘造成的不是很好提交,另外就是主机层的漏洞更不好挖掘以及提交,另外CVE是只收通用类型的为主,似乎事件型的不收(个人认为),然后CVE是不需要截图的你只需要把存在漏洞的代码提交上去即可,然后不管你是机翻,还是手工翻,写一份英文报告发布在GitHub上即可,并且把该链接粘贴至漏洞提交处。

关于CNNVD的阐述:

其次说说国内的CNNVD,个人认为是最难提交的,从web层到主机层的,都很难提交,看过我文章的人都知道我曾经发过一篇闭源通用的文章,该文章就是当时由于挖掘出来,提交至CNNVD最终认定为闭源通用被没收了,从而失败了,由此可见CNNVD是更难提交的,cms要么是大型的,小众化的cms基本上是不收录的,主机层漏洞就更不用说了,然后CNNVD事件型的主要看是否为闭源和开源,通用型的看波及面是否广泛。

关于CNVD的阐述:

最后在说说CNVD,CNVD个人认为还是比较好点的(曾经更好提交)小众化cms,或者大型cms,不管是什么语言基本上都没问题,只要是能够证明的危害基本上都收录的,主机层漏洞也是收录的,不管是通用型还是事件型都是可以的。

个人认为:

但由于近几年来,各种明文条款规则(法律)什么的都在不断的完善当中,所以越来越严格,然后就是规则的变动,个人认为CNVD目前小众化的cms基本上接近一个饱和的状态所以,估计以后很难再提交了,当然不排除有特殊性质的,另外条令条例(法律)中基本上也会限制了针对于事件型的漏洞挖掘,所以这里我不是很建议大家挖掘事件型的,不过可以去选择挖掘一些通用型的,不管是黑盒测试还是白盒测试或者灰盒测试,都是可以只要能够证明就行,有的时候不必要去挖掘事件型的,这个看自己怎么去提交并且通过了,如果我提交的话都会直接跟漏洞审核人员进行协商。

由此以上表达能够看出来一个趋势,以及一个个人认为的排行。

个人建议:

不挖掘或者少挖掘没有授权或者授权不是很大的事件型漏洞,挖掘通用漏洞能不去复现事件型的就不要去复现了吧,毕竟太危险这个谁也保不准,另外提两个真实案例,其实都知道的案例,一个是近期的银川事件,另外一个是几年前的世纪佳缘事件,两个事件均作为一个典型的“农夫与蛇”的故事代表,所以谨慎谨慎再谨慎吧。

首先针对于一个趋势的个人认定:

从大多数漏洞到少数漏洞的一个发展,也就是说一些小众化的不好被收录了,但是大型的还是可以被收录。

 

其次是针对于一个排行的个人认定(从难道易):

主机类型的漏洞:

1.CVE

2.CNNVD

3.CNVD

web类型的漏洞:

1.CNNVD
2.CNVD
3.CVE

注明:以上所说的均为个人观点,如有不同观点可以找我探讨下互相交流学习