1、CVE概述

CVE 是通用漏洞披露(Common Vulnerabilities and Exposures)的英文缩写,列出了已公开披露的各种计算机安全缺陷。CVE 识别号由 CVE 编号管理机构(CNA)分配。全球目前约有 100 个 CNA,包括各大 IT 供应商以及安全公司和研究组织。

2、如何获取CVE

之前还没有去获取编号之前一直以为CVE编号很难申请,也查询了很多资料去看如何才能获取CVE,途径就是去找CNA提交漏洞。

第一次我根据兄弟们的经验分享去找Participating CNA 申请 CVE 编号,CNA列表在https://www.cve.org/PartnerInformation/ListofPartners。查看半天觉得这些厂商的产品都不是我这种新手能够搞的,翻看一会看到wordpress的收洞条件:

众所周知,WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统,具有插件架构和模板系统,第三方插件非常的多(59686),插件开发者定然水平不一,那就找个插件来试试手


找了个看起来比较~的,是个主页欢迎插件,ps:当时插件没截图,现在因为没整改下架啦

见框就插,成功弹窗,写文档提交给WPscan,https://wpscan.com/submit,不能给wordpress官方,CVE就就轻松获取了,再简单的漏洞wpscan都收,不过这个等的时间比较久,记得当时是等了一个月。



后来陆续找了几个其他插件的漏洞,但是感觉挺麻烦又费时间,又把目光转到了github的cms上,找到了Distributed Weakness Filing Project CNA, 翻译过来是“分布式弱点申报项目”,其实主要是指不在参与 CNA 那些公司里面并且是开源软件或系统的漏洞,给出的提交网站 https://iwantacve.org/已经访问不到。

后来看到了一个平台上的不知名cms也可以获取cve,最终找到最容易且最快的获取方式:

提交平台:https://vuldb.com/

cms寻找平台:https://www.sourcecodester.com/

找php的系统且容易搭的系统,下载源码看看,例如下图,sql注入送到脸上了(不用怀疑,这个平台上的代码基本都是这样)


简单写个文档提到这个网站上,提交填写的内容也特别简单,贴个文档链接就行了。

提交完之后半个小时左右就会分配CVE编号(第一次提交的号可能要等个几天)。

最后就祝兄弟们都拿到自己的CVE编号啦,不过这种都是凑数的,大家还是努力挖大厂商的大大大洞吧~~