簡介

隨著越來越多關注漏洞披露對于企業和應用所帶來的影響，通過國內平臺披露漏洞也越來越受到關注。不同平臺上披露漏洞的流程有所不同，剛好借此機會進行總結。

CNVD披露流程

1、需要在www.cnnvd.org.cn注冊一個賬號。注冊賬號的鏈接為：www.cnvd.org.cn/user/regist ，注冊時別忘記閱讀上報須知www.cnvd.org.cn/sbxz。

如例圖所示，填寫詳細的信息。



2、登錄的鏈接為www.cnvd.org.cn/user/login，登錄窗口填寫剛才注冊的用戶名和密碼即可登錄成功。

如圖所示。



3、成功登錄后記得先修改個人信息，如果工作單位為空，默認是個人。這個會影響到漏洞證明上的信息。

如圖所示。



4、如果要上報漏洞選擇 漏洞上報->立即上報漏洞 會進入上報漏洞頁面，上報分為事件型漏洞和通用型漏洞。

如圖所示。



5、上報頁面之中找到 基本信息->漏洞所屬類型 可以區分提交事件型還是通用型。不同類型需要的信息不同，按照實際情況提交即可。

如圖所示。



6、上報時候需要注意，黑盒方式提交漏洞需要至少十個互聯網之中受影響案例，白盒方式則需要詳細的代碼審計過程或者逆向過程。

通常提交附件為 word報告+POC/EXP+待測試程序+復現操作錄屏 的壓縮包(我一般是空密碼)。

獲得證明的標準如下：

通用型

中危及中危以上的通用性漏洞（CVSS2.0基準評分超過4.0） 軟件開發商注冊資金大于等于5000萬人民幣或者涉及黨政機關、重要行業單位、科研院所、重要企事業單位（如：中央國有大型企業、部委直屬事業單位等）的高危事件型漏洞 通用型漏洞得十個網絡案例以上

事件型

事件型漏洞必須是三大運營商（移動、聯通、電信）的中高危漏洞，或者黨政機關、重要行業單位、科研院所、重要企事業單位（如：中央國有大型企業、部委直屬事業單位等）的高危事件型漏洞才會頒發原創漏洞證書

CNNVD披露流程

1、CNNVD 提交漏洞之前需要準備一個郵箱，郵箱可以為企業郵箱或者個人郵箱。

通過電子郵箱 vulpro@itsec.gov.cn 接收漏洞，

2、需要注重郵件的格式，格式如下：

提交漏洞時，建議郵件遵循以下格式：

郵件主題為漏洞名稱（如：XX產品XX漏洞）；

郵件內容包含“漏洞報送單位+提交人員姓名+聯系電話”；

其他內容如所提交信息如有保密、隱私等特殊要求，應在提交時說明；

常用的郵件模板：

title: Weblogic 12 產品 反序列化漏洞

郵件內容：XXX公司+張三+188XXXXXXXX 特殊要求：無

3、提交通用型漏洞驗證錄像和POC，輔助漏洞處置工作。一定要按照標準壓縮格式提交郵件附件，標準格式附件樣例：

通用型漏洞標準壓縮格式下載

事件型漏洞標準壓縮格式下載

4、提交漏洞后,CNNVD將會在1個工作日內予以確認回復，如未收到漏洞提交成功的回執郵件,請您重新提交或與CNNVD聯系。

審核編輯：劉清