怎样获得CNVD原创漏洞证书

1. 前言

因为工作变动,我最近把这一年多的工作挖漏洞的一些工作成果提交到了CNVD漏洞平台(https://www.cnvd.org.cn/),获得了多张CNVD原创漏洞证书。本篇博客讲下怎么获得CNVD原创漏洞证书,以供大家参考。

2. CNVD原创漏洞证书获取条件

1.事件型

事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书。

2.通用型

这里我们主要介绍通用型漏洞证书获取方式,通用型发证要求为中高危漏洞且漏洞评分不小于4.0(这里说白了就是低危不发证),通用型证书获取方式需要满足两个条件:

1)需要给出漏洞证明案例至少十起(例如:一个建站平台下的十个网站都存在SQL注入,你就需要提供这十个网站的URL,具体漏洞复现方式需要在你上传的doc文件中至少详细复现3~5个,剩下的只需要将URL附上即可)。

2)发现的漏洞相应的公司规模要以及注册资金要相应比较多,反之可能提交的漏洞会被打下来(CNVD要求公司的注册资金必须不小于五千万,但在实际情况中可能不需要这么多,只要不是太小的公司就可以)。

3. 发现漏洞

发现漏洞的方式,大家各显神通。

4. CNVD证书审批流程

1、在www.cnnvd.org.cn注册一个账号。

注册账号的链接为:www.cnvd.org.cn/user/regist ,注册时需阅读上报须知:www.cnvd.org.cn/sbxz。

  1. 使用注册的账号登录,在左侧栏选择"漏洞上报",点击右上角"立即上报漏洞"。然后填写"基本信息","厂商信息","漏洞详情"。

发现者默认是自己名字,如果你的漏洞在同类设备上都能出现,那么"漏洞所有类型"就填"通用型漏洞"。

"漏洞详情"填写的时候,有一点我很震惊,就是竟然没有"权限提升"这个类别。好吧,我基本都选的其他。下面我主要填了漏洞描述和解决方案。

填完后输入验证码,提交。

  1. 回到左侧栏选择"漏洞上报",可以看到自己提交的漏洞已经有了编号"CNVD-C-2024-****",接下来就是等待审核了。审核的速度比较慢,事件跨度大概是这样。
  1. 到漏洞归档的这一天,"系统消息"栏会收到漏洞审核结果的消息,然后次日通知你有原创漏洞整数生成(中危以上),下载下来,就OK了。
  1. 我的证书。

我提交的漏洞里基本都获得了中危以上评分。以下是几张高危证书的原创漏洞证明

5. 总结

以上是我获取原创漏洞证书的过程。供大家参考,希望安全从业人员都能过上美好的生活。

相关推荐
学Linux的语莫6 分钟前
Ansible使用简介和基础使用
linux·运维·服务器·nginx·云计算·ansible
Onlooker12917 分钟前
云服务器部署WebSocket项目
服务器
学Linux的语莫29 分钟前
搭建服务器VPN,Linux客户端连接WireGuard,Windows客户端连接WireGuard
linux·运维·服务器
legend_jz34 分钟前
【Linux】线程控制
linux·服务器·开发语言·c++·笔记·学习·学习方法
黑牛先生37 分钟前
【Linux】进程-PCB
linux·运维·服务器
Karoku06642 分钟前
【企业级分布式系统】ELK优化
运维·服务器·数据库·elk·elasticsearch
弗锐土豆1 小时前
工业生产安全-安全帽第二篇-用java语言看看opencv实现的目标检测使用过程
java·opencv·安全·检测·面部
安迁岚2 小时前
【SQL Server】华中农业大学空间数据库实验报告 实验三 数据操作
运维·服务器·数据库·sql·mysql
HackKong2 小时前
小白怎样入门网络安全?
网络·学习·安全·web安全·网络安全·黑客
打码人的日常分享2 小时前
商用密码应用安全性评估,密评整体方案,密评管理测评要求和指南,运维文档,软件项目安全设计相关文档合集(Word原件)
运维·安全·web安全·系统安全·规格说明书