溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何輕松拿下CNVD原創(chuàng)漏洞證書

發(fā)布時(shí)間:2021-12-23 10:17:55 來源:億速云 閱讀:4677 作者:柒染 欄目:網(wǎng)絡(luò)管理

這篇文章給大家介紹如何輕松拿下CNVD原創(chuàng)漏洞證書,內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

0x01 CNVD證書獲取條件

1.事件型

事件型漏洞必須是三大運(yùn)營商(移動(dòng)、聯(lián)通、電信)的中高危漏洞,或者黨政機(jī)關(guān)、重要行業(yè)單位、科研院所、重要企事業(yè)單位(如:中央國有大型企業(yè)、部委直屬事業(yè)單位等)的高危事件型漏洞才會(huì)頒發(fā)原創(chuàng)漏洞證書。

2.通用型

這里我們主要介紹通用型漏洞證書獲取方式,通用型發(fā)證要求為中高危漏洞且漏洞評分不小于4.0(這里說白了就是低危不發(fā)證),通用型證書獲取方式需要滿足兩個(gè)條件:

1)需要給出漏洞證明案例至少十起(例如:一個(gè)建站平臺(tái)下的十個(gè)網(wǎng)站都存在SQL注入,你就需要提供這十個(gè)網(wǎng)站的URL,具體漏洞復(fù)現(xiàn)方式需要在你上傳的doc文件中至少詳細(xì)復(fù)現(xiàn)3~5個(gè),剩下的只需要將URL附上即可)。

2)發(fā)現(xiàn)的漏洞相應(yīng)的公司規(guī)模要以及注冊資金要相應(yīng)比較多,反之可能提交的漏洞會(huì)被打下來(CNVD要求公司的注冊資金必須不小于五千萬,但在實(shí)際情況中可能不需要這么多,只要不是太小的公司就可以)。

0x02 小白如何發(fā)現(xiàn)通用型漏洞

1.通過建站平臺(tái)發(fā)現(xiàn)漏洞

在我們?nèi)粘M诙吹倪^程中可能已經(jīng)錯(cuò)過了很多次拿證的機(jī)會(huì),所以想拿到證書一定要細(xì)心,在網(wǎng)站的下面我們很容易看到一個(gè)技術(shù)支持類的字眼,這里可能就是提供技術(shù)支持的廠商,可能是建站平臺(tái)也可能是別的什么公司。

如何輕松拿下CNVD原創(chuàng)漏洞證書

通過Google搜索廠商我們很容易就可以找到這個(gè)廠商,發(fā)現(xiàn)其是一個(gè)建站平臺(tái),因?yàn)樯厦婢W(wǎng)站存在SQL注入,所以使用過這個(gè)建站平臺(tái)模板的網(wǎng)站都有可能存在注入,這就是一個(gè)拿證思路。是不是有一種錯(cuò)過十萬本證書的感覺......

如何輕松拿下CNVD原創(chuàng)漏洞證書

2.利用搜索引擎發(fā)現(xiàn)各大廠商安全產(chǎn)品弱口令

這里我們一定要用好Google 、Fofa等搜索引擎,了解這些搜索引擎的語法規(guī)則。因?yàn)檫@些搜索引擎可以讓我們快速發(fā)現(xiàn)漏洞,大大節(jié)省我們工作量。

各大廠商的產(chǎn)品在出廠時(shí)大多都設(shè)置了弱口令,而且大多數(shù)產(chǎn)品包括安全產(chǎn)品都不會(huì)設(shè)置登錄后強(qiáng)制修改密碼,所以很多安全產(chǎn)品或者網(wǎng)絡(luò)設(shè)備都存在弱口令的問題,這時(shí)我們就可以通過Fofa來搜索一些做了外網(wǎng)映射的設(shè)備。

如何輕松拿下CNVD原創(chuàng)漏洞證書

通過FOfa我們可以找到安全產(chǎn)品,我們通過Google 搜索我們可以找到對應(yīng)設(shè)備的弱口令,運(yùn)氣好的話admin/admin就進(jìn)去了......,然后我們就可以通過特定搜索某些設(shè)備來收集十個(gè)以上可以用弱口令登錄的就可以提交CNVD了,大佬的話可以通過弱口令進(jìn)去發(fā)現(xiàn)更多更有價(jià)值的漏洞。

如何輕松拿下CNVD原創(chuàng)漏洞證書

3.通過白盒審計(jì)CMS發(fā)現(xiàn)漏洞

這種方式就需要有一定的代碼審計(jì)功底,并不適合小白。但是通過后期的不斷努力,也一定可以實(shí)現(xiàn)的,畢竟打工人也是有夢想的!?。?/p>

通過發(fā)現(xiàn)網(wǎng)站中使用的網(wǎng)站框架或者CMS,我們可以從GitHub或者Google等搜索引擎 拿到網(wǎng)站源碼進(jìn)行代碼審計(jì)發(fā)現(xiàn)代碼中存在的漏洞。

0x03 CNVD證書審批流程

CNVD證書下發(fā)流程分為:一級(jí)審核、二級(jí)審核、漏洞驗(yàn)證、漏洞處置、三級(jí)審核、漏洞歸檔

這里三級(jí)審核是CNVD對你提交漏洞進(jìn)行復(fù)現(xiàn)的過程,也是最重要的一步,一般一審和二審都會(huì)通過,拿不拿的到證書關(guān)鍵就在于三級(jí)審核是否能通過,只要通過三級(jí)審核基本證書就到手了。

如何輕松拿下CNVD原創(chuàng)漏洞證書

現(xiàn)在CNVD審核好像變快了,從提交漏洞到拿到證書一般周期為半個(gè)月左右。

最后附上兩張剛拿到的證書助助興

如何輕松拿下CNVD原創(chuàng)漏洞證書

如何輕松拿下CNVD原創(chuàng)漏洞證書

關(guān)于如何輕松拿下CNVD原創(chuàng)漏洞證書就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI