5ecurity技术团队

砥砺奋进
不断前行

CVE申请的那些事-后记

自上一篇《CVE申请的那些事》之后,好多学弟学妹加了套哥的微信交流CVE申请的事宜,套哥很高兴能帮到大家。但也有小伙伴表达了自己的看法:

1、水一波CVE针的有用么?面试的时候拿出来会被笑话吧?

首先呢,《CVE申请的那些事》这篇文章主要还是向大家介绍CVE是啥,怎么申请CVE,给英文不好的小白们介绍下申请方法,和套哥我的一些申请经验;

其次呢,就是CVE也好其他漏洞也好,自然是有水的和牛掰的啦,牛人呢可以挖牛掰的,小白呢可以挖水的,但是牛人也是从小白过来的嘛,在简历上列出申请过的CVE主要是对自己能力的证明,至少可以说明对web漏洞(owasp top 10)的原理是清楚的,是有能力发现常见web漏洞的嘛,当然如果有能力那当然是放上几个操作系统远程溢出的CVE比较牛掰啦。

总之呢,套哥的观点是,不弄虚作假能真实反应自己能力就好。

2、这个CVE官方链接上没有作者信息这一栏啊?咋证明是我申请的呢?

这个是一个问题,因为在提交CVE的时候是有“发现者”信息的,但是通过审核正式发布后是不对外公布的。那怎么能证明呢……答案是“不好证明”,当然啦你在申请的时候是有官方邮件回复的,但总不能截个邮件的图去证明吧,很不方便的。

由于好多小伙伴都在问这个问题,以套哥我的经验,这个是有国际惯例的---“背书”当然这里说的背书并不是法律专业领域的意思,想法就是找另一方组织或机构对我们申请的CVE认可,这个时候套哥想到的是exploit-db,可以将我们的CVE漏洞信息和exp发布到exploit-db官网,因为exploit-db官网是有作者信息的。方法和步骤如下:

1、发邮件到submit@offsec.com提交漏洞信息
1.jpeg
当然啦邮件是要用英文写的。首先邮件标题是漏洞的名称“WUZHI CMS 4.1.0存在CSRF漏洞可添加管理员账号”,正文内容也比较简单,但要注意格式
**“# Exploit Title:”漏洞标题
“# Date: ”发现漏洞的日期
“# Exploit Author:” 作者
“# Vendor Homepage:” 漏洞程序作者的主页
“# Software Link:”漏洞程序的下载地址
“# Version:” 漏洞程序的版本
“# CVE :”漏洞的CVE编号**
下面写一下漏洞利用的方法和exp代码就ok了。

2、收到官方确认邮件
上一步的收件发完后,会收到官方的自动回复。
2.jpeg
大概意思是说感谢大兄弟提交的XXX漏洞,我们会马上确认。自动回复就不用管它就好。

3、官方漏洞信息发布通知
套哥的经验是如果你提交的漏洞已经有CVE编号,那exploit-db会很快确认并在官网正式发布,也就1-2天时间,当然如果你时差算的好,晚上提交,第二天早上发布也是有可能的。
3.jpeg
大概意思还是感谢,然后给你一个漏洞的url地址,说是3天内发布,但一般收到邮件时就已经发布了,exploit-db的效率还是蛮高的。
4.jpeg

还有就是有的小学妹毕业前也想申请几个CVE好写到简历里面去面试,但是并不知道如何找漏洞。

有的小学弟英文不好,挖到漏洞后不会写英文邮件……

上面两个问题就简单了,学弟学妹配合申请呗,“学弟学妹搭配,申请CVE不累”嘛。(学弟,学长只能帮你到这了~~~)

未经允许不得转载:5ecurity技术团队 » CVE申请的那些事-后记

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址