CNVD漏洞证书（1）

之前申请了CNVD原创漏洞，踩了坑，记录一下

有很多师傅写过相关的文章：

https://blog.csdn.net/qq1124794084/article/details/82657840

https://www.cnvd.org.cn/webinfo/show/3933

https://www.secpulse.com/archives/125008.html

 

对于申请证书，如图：

 

 

您好，

      来信已收到，黑盒测试案例满10起且漏洞已归档，会根据CNVD证书颁发条件来颁发证书。

        归档漏洞的证书颁发条件为：（1）对于中危及中危以上通用型漏洞（CVSS2.0基准评分超过4.0分）（除小厂商的产品、非重要APP、黑盒测试案例不满10起等不颁发证书），（2）涉及电信行业单位（中国移动、中国联通、中国电信及中国铁塔公司）和中央部委级别(不含直属事业单位)的高危事件型漏洞，CNVD将给予原创漏洞证明（即CNVD漏洞证书，电子版），该证明可通过编号在CNVD官方网站进行查询跟踪。

     时限要求：按周对上一周归档漏洞且满足证书颁发条件的进行批量制作。（每周三或周四颁发证书）

祝好！

　　

可以看出来需要满足：1，>=中危，评分>=4.0，!=（不等于）小厂商，黑盒测试案例>=10 才可以获得证书，事件型的CNVD证书在这里不讨论。

其实如果是小厂商的话也很难找到十个以上的互联网案例，白盒测试的话听其他师傅说案例数好像不需要10个这么多。

在CNVD提交通用漏洞必须复现至少3例，所以漏洞案例尽量越多越好！

我最开始的一个万能密码登录绕过的漏洞，就是因为案例数小于10，才没有证书的 :(

白等了好久。。。

 

另外通用型漏洞的挖掘，其实就是  黑盒挖掘：正常的漏洞挖掘+批量  白盒挖掘：代码审计+批量

最后这个弱口令通用得了证书。。。弱口令也能得证书？好像CMS通用弱口令不能拿证书，网络设备弱口令可以。