干货|个人申请CVE的姿势总结

~ 什么是CVE

CVE，即“Common Vulnerabilities & Exposures”，其含义为公共漏洞和暴露。作为一个漏洞披露平台，CVE受到国内外广泛关注。CVE会提供编号作为漏洞对应的特征字符串，许多企业更倾向于使用高质量的CVE来证明自身实力，一些工具和产品也将CVE作为漏洞的官方标识。一些企业会使用CVE作为修补漏洞的索引依据。

如何去提交CVE

目前，根据总结提炼，有多种申请CVE的方法，每种方法都有其优缺点，请自行选择。大体上分为两种：公开披露和向CNA成员中问题厂商报告，如需披露漏洞，请收藏。

申请披露流程

1、公开披露漏洞 -> 提交CVE申请 -> 邮件反馈申请结果

操作流程：CVE官方网站 -> Request CVE IDs(申请CVE ID) -> MITRE CVE Request web form(通过web表单提交) -> 填写表单（如果英文不佳，建议使用网页谷歌翻译或参考之前的文章） -> 等待CVE回复邮件 -> 邮件回复中带有CVE编号

2、邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁

操作流程：CVE官方网站 -> Request CVE IDs(申请CVE ID) -> 编写你的报告(英文) -> 例如，提交Apple Inc.的漏洞，可以参考以下CNA厂商列表，发送邮件至product-security@apple.com。 -> 保持与厂商沟通畅通 -> 补丁和CVE

公开披露漏洞方法

厂商通常不喜欢直接披露漏洞，最好能优先联系厂商。另外，如果公开披露的漏洞受影响厂商为CNA成员，可能会有法律风险。

Exploit Database

Exploit Database作为一个面向全世界黑客的漏洞提交平台，非常乐意收到关于您的漏洞披露邮件。如果你的漏洞已经有CVE编号，他们90%会收录。若反之，他们会验证漏洞有效性后收录，验证阶段可能需要1~3个工作日。

如果您需要提交漏洞，可以参考exploit-db.com/submit，整理有发送邮件的格式和邮箱。

下面我详细说明：

1、按照格式编写报告内容，如果无可提供信息的地方需要留空，提交需要用英语，请注意删除中文注释部分。

Exploit Title(漏洞标题): [title]

Google Dork(谷歌搜索关键字): [if applicable]

Date(发现漏洞日期): [date]

Exploit Author(漏洞发现人): [author]

Vendor Homepage(供应商主页): [link]

Software Link(漏洞影响应用下载链接): [download link if available]

Version(影响的版本): [app version] (REQUIRED)

Tested on(在什么系统进行的测试): [relevant os]

CVE(CVE编号) : [if applicable] POC(漏洞证明):

2、发送邮件至submit@offsec.com。

3、等待Exploit Database主页中披露。

4、主页中披露后，按公开披露漏洞申请流程提交CVE。

GITHUB个人项目

GITHUB是一个面向开源及私有软件项目的托管平台，在其中可以创建个人项目。您可以建立关于漏洞提交的项目，用来披露漏洞详情。

建议参考描述模板，如果可以尽量使用英文，英文模板参考exploit-db提交模板。中文的报告可能会导致审核时间延长。

模板如下：

漏洞标题：

影响版本：

发现时间：

发现人：

分析报告：

修补方案：

项目中披露漏洞后，按公开披露漏洞申请流程提交CVE。

个人博客

使用个人博客也是非常好的方法，但是可能会因为博客的变动导致漏洞链接失效。适用于审核后删除链接，保障挖掘技术的不外泄。这种方法您可以在CVE申请通过后，删除个人博客上的链接。从技术分享的角度来看，并不推荐。博客可以是个人搭建也可以是博客园等等。

披露方法与GITHUB个人项目类似，在博客中使用模板描述详情，然后按照公开披露漏洞流程提交CVE申请，就不再多述。

HACKERONE

HACKERONE是全球知名漏洞众测平台，您可通过它进行漏洞披露。选择受影响厂商，提交报告。披露流程参考hackerone.com/，提交报告需要使用英文进行沟通。维护人员或漏洞验证人员或研发人员会针对提交的情况进行复现和评分。沟通时可以提出能否提供CVE编号用来记录此问题，如果问题足够得到相关人员的重视，会有人帮忙提交CVE或个人按照公开漏洞披露流程提交。

GITHUB issue

GITHUB issue是GITHUB项目按托管软件项目的问题反馈。不推荐在上面直接披露漏洞，原因是漏洞可能导致有不怀好意关注项目的人在修复之前利用，其次对于项目使用者存在不利影响，最后还有一些项目归档问题。这种方法已经在网络上有公开的文章，就不再多述。

CVE中文申请站

CVE中文申请站是专门为中文提交漏洞所设立的站点，可以发送邮件或web页面进行提交漏洞，报告可以使用中文编写。目前情况该站点已经关闭，可能之后会开启。

CNVD

在CNVD提交漏洞审核通过后，使用漏洞公告链接，通过CVE公开披露申请流程提交。但是这种方法，笔者并未测试，有人测试成功。

总结

申请CVE编号的方法有很多，目前笔者凭经验总结只有这些。如果有不完善之处，欢迎斧正。若有更多的申请CVE编号的方法，请帮忙进行补充。

---

江海区15334575541： 蜀门手游8月2日终极封测游戏干货大爆料 ？
闽闵明目： 情与义,再聚首!年度重量级IP巨制《蜀门手游》终极封测将于8月2日盛大开启,在总结之前版本测试的问题后,封测版本总体更新量将达到80%,新增诸多内容,如新增...

江海区15334575541： 打台球的技巧问题 - ？
闽闵明目： 技术动作:做好击球准备,击球时架杆手尽量放低平些,球杆保持水平,击主球的中下点,出杆时要果断、迅速,进杆后要保持击杆的姿势,不可向回撤或转动球杆. ·技术效果:主球碰撞到目标球后,目标球沿主球作用力的方向直线向前滚动...

江海区15334575541： SSL 3.0 POODLE攻击信息泄露漏洞(CVE - 201403566)这个漏洞怎么处理 - ？
闽闵明目： 这个漏洞需要到安装SSL证书的服务器上去修复,具体的话每一种服务器都不一样,具体要看是什么服务器了——沃通(wosign)专业的数字证书CA机构

江海区15334575541： 服用维生素有哪些需要注意的事项 - ？
闽闵明目： 维生素是个经久不衰的问题,维生素确实好,但是必须你用得正确,它才好,否则可能只会添乱.有关维生素的各类问题,今天给大家做一个简单的总结,纯干货,尽量让大家浅显易懂、方便收藏.哪些人群可以口服维生素?1、 脱发人群 可以...

江海区15334575541： 枸杞的产地 - 枸杞每年上季时间是几月份?产地哪里比较好? ？
闽闵明目： 枸杞盛产宁夏,以中宁,中卫一带产的粒大肉厚为上品.一般在超市和药店和干货铺等能买到它.它的根皮药名叫[地骨皮]有清虚热,凉血的功效.嫩叶叫[天精草]主治热毒疮肿,有除烦益志,补五劳七伤的功效,它能促进肝肾活力,生精益气,补肾润肺,明目滋肝功效. 枸杞子:6-11月果实陆续红熟,要分批采收,迅速将鲜果摊在芦蔗上,厚不超过3厘米,一般以1.5厘米为宜,放阴凉处晾至皮皱,然后曝晒至果皮起硬,果肉柔软时去果柄,再晒干.枸杞叶:春季至初夏采摘,洗净,多鲜用.

江海区15334575541： 旅游业的体验营销方式有哪些?旅游业的体验营销方式有哪些 ？
闽闵明目： 网络营销干货汇总搜索营销社会化营销移动营销数据分析 旅游业体验营销应用研究 - 3 - 2.1.6 旅游消费者的公益环保意识增强, 绿色旅游需求的呼声越来越高. 随着人...

江海区15334575541： 《求职记》披着小说外衣的求职干货分享 ？
闽闵明目： 毕业,究竟是什么样子的呢?是自此开始了自由的人生,抑或是被工作所奴役?仿佛... 但是我觉得里面也夹杂了很多的求职干货和中肯的意见,十分值得学习,即使是从过...

江海区15334575541： 做日语培训的小姐姐 ？
闽闵明目： 赴日留学前,很多同学对日语的学习呈现困惑的状态,不晓得到底要怎么学?学到什么程度为佳?嗯嗯嗯嗯,这不小姐姐茜茜又来分享干货啦!说在前面:为日本留学学习...

江海区15334575541： 大学英语六级各项内容如何复习? - ？
闽闵明目： 翻译:对照译法效果好 要在英语六级翻译题上得高分,就一定要注意理解原文的意思,这样即使遇到不认识的单词,也可以通过自己的理解以及根据上下文判断出来.而在现在这个阶段,要提高翻译题的得分,最重要还是多做真题,对照译文找...

江海区15334575541： 请问宁波特产在哪买最便宜最好吃?请问宁波特产在哪买最便宜最好吃, ？
闽闵明目： 宁波特长是海货啦~在舟山,买点干货是比较便宜的,要是在市区的话,也可以看看汤圆什么的,汤圆也是宁波特产哦『如果还有不明白的欢迎追问,当然如果我的回答对您有帮助,请点击下面的“有用”您的采纳是对我莫大的支持.』