申请CVE的姿势总结

CVE的全称叫做“Common Vulnerabilities x26amp; Exposures”中文含义是公共，漏洞和暴露。...

什么是CVE？

CVE的全称叫做“Common Vulnerabilities & Exposures”中文含义是公共，漏洞和暴露。它作为披露漏洞的平台，受到国内外关注。cve会提供编号作为，漏洞对应的字符串式特征，有很多企业倾向于用多少高质量的cve，来证明实力，一些工具和产品也会，使用cve作为漏洞的官方标识。一些企业关注漏洞使用cve作为修补，漏洞的索引依据。

如何去提交CVE？

目前经过总结提炼出来，多种申请cve的方法，每种方法都有利弊，请自行选择。大体上分为两种，公开披露和向cna，成员中问题厂商报告，如果需要披露漏洞请收藏。

申请披露流程

1、公开披露漏洞 -> 提交CVE申请 -> 邮件反馈申请结果

操作流程：CVE官方网站 -> Request CVE IDs(申请CVE ID) -> MITRE CVE Request web form(通过web表单提交) -> 填写表单（如果英文不佳建议使用网页谷歌翻译或者，参考之前的文章） -> 等待CVE回复邮件 -> 邮件回复中带有CVE编号

2、邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁

操作流程：CVE官方网站 -> Request CVE IDs(申请CVE ID) -> 编写你的报告(英文) -> 例如提交 Apple Inc. 的有关漏洞，可以参考下面cna厂商，列表发送邮件到 product-security@apple.com。-> 保持和厂商沟通通畅 -> 补丁和CVE

公开披露漏洞方法

厂商们一般不太喜欢直接披露漏洞，最好能优先联系厂商，另外如果公开披露的漏洞，受影响厂商为cna成员，可能会有法律风险。

Exploit Database

Exploit database作为一个面向全世界，黑客的漏洞提交平台，他们非常乐意收到关于您的，漏洞披露邮件。如果你的漏洞，已经有cve编号，他们9成会收录。若反之，他们会验证漏洞有效性，后收录，验证阶段可能需要1~3个工作日。

如果您需要提交漏洞，可以参考 https://www.exploit-db.com/submit ，整理有发送邮件的格式，和邮箱。

下面我详细说明：

1、按照格式编写报告内容，如果无可提供信息，的地方需要留空，提交需要用英语，请注意删除中文注释部分。

Exploit Title(漏洞标题): [title]

Google Dork(谷歌搜索关键字): [if applicable]

Date(发现漏洞日期): [date]

Exploit Author(漏洞发现人): [author]

Vendor Homepage(供应商主页): [link]

Software Link(漏洞影响应用下载链接): [download link if available]

Version(影响的版本): [app version] (REQUIRED)

Tested on(在什么系统进行的测试): [relevant os]

CVE(CVE编号) : [if applicable] POC(漏洞证明):

2、发送邮件到 submit@offsec.com 。

3、等待 Exploit Database 主页中披露。

4、主页中披露后，按公开披露漏洞申请流程，提交cve。

GITHUB 个人项目

GITHUB 一个面向开源及私有，软件项目的托管平台，在这之中可以创建，个人项目。您可以建立关于，漏洞提交的项目，用来披露漏洞详情。

建议参考描述模板，如果可以尽量使用英文，英文模板参考，exploit-db提交模板。中文的报告可能会，导致审核时间延长。

模板如下：

漏洞标题：

影响版本：

发现时间：

发现人：

分析报告：

修补方案：

项目中披露漏洞后，按公开披露漏洞申请流程，提交cve。

个人博客

使用个人博客也是非常好的方法，但是可能会用于博客的变动导致，漏洞链接失效。适用于审核后删除链接，保障挖掘技术的不外泄。这种方法您可以在cve，申请通过后，删除个人博客上的链接。从技术分享的角度来看，并不推荐。博客可以是个人搭建，也可以是博客园等等。

披露方法与github个人，项目类似，在博客中使用模板，描述详情，然后按照公开披露漏洞，流程提交cve申请，就不再多述。

HACKERONE

HACKERONE 是全球知名漏洞众测平台，您可通过他进行漏洞披露。选择受影响厂商，提交报告。披露流程参考 https://hackerone.com/ ，提交报告需要使用英文，进行沟通。维护人员或者漏洞验证人员或研发人员会针对提交，的情况进行复现和评分。沟通时候可以提出能否提供，cve编号用来记录此问题，如果问题足够得到，相关人员的重视，会有人帮忙提交cve或，个人按照公开漏洞披露流程提交。

GITHUB issue

GITHUB issue是github项目按托管软件项，目的问题反馈。不推荐在上面直接，披露漏洞，原因是漏洞可能导致有不怀好意，关注项目的人在修复之前利用，其次对于项目使用者，存在不利影响，最后还有一些项目归档，问题。这种方法已经在网络上有，公开的文章，就不再多述。

CVE中文申请站

CVE中文申请站是专门为中文提交漏洞所设立的站点，可以发送邮件或web页面，进行提交漏洞，报告可以使用中文编写。目前情况该站点已经关闭，可能之后会开启。

CNVD

在CNVD提交漏洞审核通过后，使用漏洞公告链接，通过cve公开披露申请，流程提交。但是这种方法，笔者并未测试，有人测试成功。

总结

申请CVE编号的方法有很多，目前笔者凭经验总结，只有这些。如果有不完善地方，欢迎斧正。若有更多的申请，cve编号的方法，请帮忙进行补充。

    关注 黑客与极客