簡(jiǎn)介

隨著越來(lái)越多關(guān)注漏洞披露對(duì)于企業(yè)和應(yīng)用所帶來(lái)的影響，通過(guò)國(guó)內(nèi)平臺(tái)披露漏洞也越來(lái)越受到關(guān)注。不同平臺(tái)上披露漏洞的流程有所不同，剛好借此機(jī)會(huì)進(jìn)行總結(jié)。

CNVD披露流程

1、需要在www.cnnvd.org.cn注冊(cè)一個(gè)賬號(hào)。注冊(cè)賬號(hào)的鏈接為：www.cnvd.org.cn/user/regist ，注冊(cè)時(shí)別忘記閱讀上報(bào)須知www.cnvd.org.cn/sbxz。

如例圖所示，填寫(xiě)詳細(xì)的信息。



2、登錄的鏈接為www.cnvd.org.cn/user/login，登錄窗口填寫(xiě)剛才注冊(cè)的用戶(hù)名和密碼即可登錄成功。

如圖所示。



3、成功登錄后記得先修改個(gè)人信息，如果工作單位為空，默認(rèn)是個(gè)人。這個(gè)會(huì)影響到漏洞證明上的信息。

如圖所示。



4、如果要上報(bào)漏洞選擇 漏洞上報(bào)->立即上報(bào)漏洞 會(huì)進(jìn)入上報(bào)漏洞頁(yè)面，上報(bào)分為事件型漏洞和通用型漏洞。

如圖所示。



5、上報(bào)頁(yè)面之中找到 基本信息->漏洞所屬類(lèi)型 可以區(qū)分提交事件型還是通用型。不同類(lèi)型需要的信息不同，按照實(shí)際情況提交即可。

如圖所示。



6、上報(bào)時(shí)候需要注意，黑盒方式提交漏洞需要至少十個(gè)互聯(lián)網(wǎng)之中受影響案例，白盒方式則需要詳細(xì)的代碼審計(jì)過(guò)程或者逆向過(guò)程。

通常提交附件為 word報(bào)告+POC/EXP+待測(cè)試程序+復(fù)現(xiàn)操作錄屏 的壓縮包(我一般是空密碼)。

獲得證明的標(biāo)準(zhǔn)如下：

通用型

中危及中危以上的通用性漏洞（CVSS2.0基準(zhǔn)評(píng)分超過(guò)4.0） 軟件開(kāi)發(fā)商注冊(cè)資金大于等于5000萬(wàn)人民幣或者涉及黨政機(jī)關(guān)、重要行業(yè)單位、科研院所、重要企事業(yè)單位（如：中央國(guó)有大型企業(yè)、部委直屬事業(yè)單位等）的高危事件型漏洞 通用型漏洞得十個(gè)網(wǎng)絡(luò)案例以上

事件型

事件型漏洞必須是三大運(yùn)營(yíng)商（移動(dòng)、聯(lián)通、電信）的中高危漏洞，或者黨政機(jī)關(guān)、重要行業(yè)單位、科研院所、重要企事業(yè)單位（如：中央國(guó)有大型企業(yè)、部委直屬事業(yè)單位等）的高危事件型漏洞才會(huì)頒發(fā)原創(chuàng)漏洞證書(shū)

CNNVD披露流程

1、CNNVD 提交漏洞之前需要準(zhǔn)備一個(gè)郵箱，郵箱可以為企業(yè)郵箱或者個(gè)人郵箱。

通過(guò)電子郵箱 vulpro@itsec.gov.cn 接收漏洞，

2、需要注重郵件的格式，格式如下：

提交漏洞時(shí)，建議郵件遵循以下格式：

郵件主題為漏洞名稱(chēng)（如：XX產(chǎn)品XX漏洞）；

郵件內(nèi)容包含“漏洞報(bào)送單位+提交人員姓名+聯(lián)系電話(huà)”；

其他內(nèi)容如所提交信息如有保密、隱私等特殊要求，應(yīng)在提交時(shí)說(shuō)明；

常用的郵件模板：

title: Weblogic 12 產(chǎn)品 反序列化漏洞

郵件內(nèi)容：XXX公司+張三+188XXXXXXXX 特殊要求：無(wú)

3、提交通用型漏洞驗(yàn)證錄像和POC，輔助漏洞處置工作。一定要按照標(biāo)準(zhǔn)壓縮格式提交郵件附件，標(biāo)準(zhǔn)格式附件樣例：

通用型漏洞標(biāo)準(zhǔn)壓縮格式下載

事件型漏洞標(biāo)準(zhǔn)壓縮格式下載

4、提交漏洞后,CNNVD將會(huì)在1個(gè)工作日內(nèi)予以確認(rèn)回復(fù)，如未收到漏洞提交成功的回執(zhí)郵件,請(qǐng)您重新提交或與CNNVD聯(lián)系。

審核編輯：劉清