1、CVE 概述

CVE 是通用漏洞披露(Common Vulnerabilities and Exposures)的英文缩写,列出了已公开披露的各种计算机安全缺陷。CVE 识别号由 CVE 编号管理机构(CNA)分配。全球目前约有 100 个 CNA,包括各大 IT 供应商以及安全公司和研究组织。

2、如何获取 CVE

之前还没有去获取编号之前一直以为 CVE 编号很难申请,也查询了很多资料去看如何才能获取 CVE,途径就是去找 CNA 提交漏洞。

第一次我根据兄弟们的经验分享去找 Participating CNA 申请 CVE 编号,CNA 列表在 https://www.cve.org/PartnerInformation/ListofPartners。查看半天觉得这些厂商的产品都不是我这种新手能够搞的,翻看一会看到 wordpress 的收洞条件:

众所周知,WordPress 是一个以 PHP 和 MySQL 为平台的自由开源的博客软件和内容管理系统 , 具有插件架构和模板系统 , 第三方插件非常的多(59686),插件开发者定然水平不一,那就找个插件来试试手


找了个看起来比较 ~ 的,是个主页欢迎插件,ps: 当时插件没截图,现在因为没整改下架啦

见框就插,成功弹窗,写文档提交给 WPscan,https://wpscan.com/submit,不能给 wordpress 官方,CVE 就就轻松获取了,再简单的漏洞 wpscan 都收,不过这个等的时间比较久,记得当时是等了一个月。



后来陆续找了几个其他插件的漏洞,但是感觉挺麻烦又费时间,又把目光转到了 github 的 cms 上,找到了 Distributed Weakness Filing Project CNA, 翻译过来是“分布式弱点申报项目”,其实主要是指不在参与 CNA 那些公司里面并且是开源软件或系统的漏洞 , 给出的提交网站 https://iwantacve.org/已经访问不到。

后来看到了一个平台上的不知名 cms 也可以获取 cve, 最终找到最容易且最快的获取方式:

提交平台:https://vuldb.com/

cms 寻找平台:https://www.sourcecodester.com/

找 php 的系统且容易搭的系统,下载源码看看,例如下图,sql 注入送到脸上了(不用怀疑,这个平台上的代码基本都是这样)


简单写个文档提到这个网站上,提交填写的内容也特别简单,贴个文档链接就行了。

提交完之后半个小时左右就会分配 CVE 编号(第一次提交的号可能要等个几天)。

最后就祝兄弟们都拿到自己的 CVE 编号啦,不过这种都是凑数的,大家还是努力挖大厂商的大大大洞吧 ~~