CNVD漏洞和证书挖掘经验总结

前言

本篇文章主要是分享一下本人挖掘CVND漏洞碰到的一些问题，根据过往成功归档的漏洞和未归档的漏洞总结出的经验，也确实给审核的大佬们添了很多麻烦（主要真的没人教一下，闷着头尝试犯了好很多错误，希望各位以后交一个通过一个。当然，也一定要注意测试资产的范围、尺度和授权问题）

首先是大家关注的肯定都是CNVD漏洞的收录和证书颁发的标准，这个其实在我加入到CNVD官方交流群后通过大佬们的交流发现这个规则在近几年是一直在一步步完善的，我这里只能大概说一下最近的标准，保不齐几年后规则会有些许变化。CNVD官方交流群需要挖掘三个归档的漏洞然后才能申请进群的，大佬们如果有的话可以进群关注一下群里消息，有些问题可以在群里反馈

一、事件型漏洞的收录标准

只对事业单位、政府机关、国有企业、中央企业的漏洞进行收录。当然也有一些例外，部分的 "群众性团体组织" 也会收录，但是听大佬说好像最近不收了，这个概念就很模糊，没有明确定义；有时候对事业单位和国有企业的收录也会出现问题，但是这些问题都可以通过CNVD的邮箱进行反馈，沟通问题，下面针对这两种可能出现的问题举例一下：

①有一次提交了一个事业单位的命令执行漏洞，但是该单位的名称是 "XX市物业维修基金管理中心" 看名字实在想不到这是一个事业单位，通过网上对其信息进行检索确认是事业单位，没问题，但是CNVD不认，这就很无奈。当然，也不排除我使用的网站查询的备案记录有问题

顺便补充一下，下图这类的反馈就证明该资产单位的漏洞CNVD不收，状态为 "暂不归档"

网站备案查询工具：ICP备案查询_APP及小程序备案查询 - 站长工具

②也是某一次提交事业单位的文件上传漏洞，该单位的名称是某某康复医院，同样是对该资产不进行收录，虽然医院名字比较奇怪但是资产检索也是没问题的

③再就是一些对国有企业的漏洞信息提交了，这个拒收次数还是比较多的，经过多次尝试后大概猜测可能是对国有企业的股份资产的比例和对于地方国企、大型国企也有区分判断（下面举例，佐证我的猜测，当然这个定义本身也比较模糊，没办法说百分百是这样）

我是直接百度查找该公司是否为国企的，主要看爱企查中对该公司归属的判断

二、事件型漏洞的颁发原创漏洞证明的标准

这里我就直接用CNVD官方群公告里的原话了，总结一下就是很难通过该方法获取证书，全靠运气，千万别为了一个证书给自己搭进去

涉及电信行业单位（中国移动、中国联通、中国电信及中国铁塔公司）和中央部委级别(不含直属事业单位)的高危事件型漏洞

三、通用型漏洞的收录标准

这个目前了解的单单对于收录来说，是没有什么特别的标准，只不过需要网络中确实有多个此资产，总不能自研的系统只有一个单位或者个人在用，发现漏洞上报以后也判断为通用型漏洞。在就是需要证明资产归属，确实是同一个（可以不同版本）资产且能证明该资产确实属于某某公司开发的产品。

而通用漏洞报告的证明方式是有两种的：

一种是需要对系统进行代码审计，审计出漏洞以后结合审计的代码复现漏洞然后上报。这种方法不用上报资产示例，所以可能会出现分歧，就像我上面说的一样，审核人员是会查资产的。不过个人认为这个方法是比较稳妥的，很多大佬也都是通过此类方法；

另一种是需要十例网络资产复现漏洞再进行上报。最低要求是必须有3个成功复现的案例，需要有复现的过程和结果截图，然后网络中有十例资产且至少5例能成功复现该漏洞，当然不排除审核人员复现的时候有部分示例资产漏洞无法复现的，所以能多写点还是多写点。

另外，漏洞的证明是不限制方式的，除了可以通过编写报告证明漏洞，还可以通过录制视频来证明漏洞

四、通用型漏洞的颁发原创漏洞证明的标准

这也是大部分人获取CNVD证书的方式，这里我同样借用CNVD官方群里的公告

对于中危及中危以上通用型漏洞（CVSS2.0基准评分超过4.0分）（除小厂商的产品、非重要APP、黑盒测试案例不满10起等不颁发证书）

这里只说明了除 "小厂商" 、"非重要APP" ，但并没有规定多少。目前师傅们是口口相传对于 "大厂商" 的定义是需要实际缴纳资本达到5000万，只看注册资本是不行的，但是好像有些应用比较多的系统或设备资产但没到实缴资本5000万的也会颁发证书；而对于 "重要APP" 这个定义更是没有说明，目前来看是需要看APP的下载量的。所以最终解释权还是在CNVD官方，但是他们貌似从来没有发布过明确的规定，如果有明白的大佬也请说明一下

五、漏洞编号和证书编号格式

①漏洞提交编号：CNVD-C-年份-编号（只是提交了，没有收录）；

②漏洞归档编号：CNVD-年份-编号（提交并收录了）；

③原创漏洞证明编号：CNVD-YCGN-编号、CNVD-YCGW-编号、CNVD-YCGS-编号

这里对于原创漏洞证明编号只是举例一下，YCGN是网络设备、YCGW是web应用、YCGS是安全产品，而CNVD收录的漏洞种类是比较多的，肯定还有其他种类，只是我没见过

六、危害级别

危害级别就相当于对漏洞进行评分，也是高中低危评判的标准，评分是从攻击途径、攻击复杂度、认证、机密性、完整性、可用性六个维度进行考量的

低危（<4分）；中危（>=4分，<7分）；高危（>7分）

不过这好像不完全对，我写这个文章的时候就见到了一个评分7.8分但是归到了低危里面，我也不懂为什么，只能怀疑是系统出错误了

漏洞评分达到10分的就是不需要任何认证（不需要进行登录）的远程命令执行这种漏洞，漏洞等级也是高级

七、审核速度

事件型：一般事件型漏洞审核速度是很快的，这里放一下官网给的原话。

事件型漏洞验证不超过1个工作日，通报到涉事单位时间不超过3个工作日。

事件型漏洞基本上是上午10点前提交，审核没有问题的话，晚上6点前是能归档的。而下午提交就需要等到第二天才能归档。

当然也有特殊情况，比如节假日和护网期间，护网期间以及结束后一段时间内漏洞太多了，可能会出现处理不过来，不过通常是优先处理事件型漏洞

通用型：通用型漏洞相对审核速度要慢一些，这里同样放一下官网给的原话。

通用型漏洞验证取决于复现条件，通报到厂商时间不超过5个工作日。对于处置周期，视处置难度和修复情况而定。

通用型漏洞提交后正常的话，会在三天内进行一审、二审，而三审大概在两周内，因为厂家也需要进行整改，所以有的也会长一些，可能需要一个月时间。

同样在节假日和护网期间这些特殊情况处理会慢一些，护网期间以及结束后一段时间内漏洞太多了，导致两个月甚至更长才审核完成的情况也是有的

CNVD公告地址：

https://www.cnvd.org.cn/webinfo/show/3933

成功归档后且符合漏洞证书条件，都会在下一个周的周三、周四统一制作证书并发放，也存在提前发放的先例，但是如果不是节假日，过了时间还没发很可能就是不符合条件了

个人在各个SRC平台提交漏洞的经验感觉来说，CNVD的审核和证书以及奖励发放速度应该可以算是最快的了，还是比较好的

八、荣誉值和积分

一般原创漏洞积分会在漏洞归档后1~3天内发放，大家归档以后也不用着急。而这里就是按照官方公告直接来看就可以了，简单说一下就是资产单位越厉害，漏洞危害越大分就越高，而通用漏洞会在这个基础上高一些，最少就是0.1分。这里直接附带上官方发的计算公式以及公告文件，大家可自行查看研究

CNVD公告地址：

https://www.cnvd.org.cn/webinfo/show/4815

九、报告书写模板

这里我附带一下我提交的成功归档的漏洞的报告，有需要可以参考一下（CNVD漏洞报告没有固定模板只要将需要的信息都描述清楚即可）

事件型：

通用型：

十、CNVD挖掘中的错误案例总结

①最开始尝试的时候最大的问题就是不清楚到底收录哪些资产，也是通过多次尝试以及收集资料最后总结出来，上面对于各种资产的收录问题已经提及过了

②同样是在初期尝试的时候，挖掘到的一个任意文件上传的漏洞，资产单位是没问题了，但是当时这个漏洞文件上传上去之后是没法执行命令的，而且最开始被驳回也没弄明白需要做什么就直接重新提交了然后就又被驳回了。其实到现在才想到当时可以上传其他的，比如pdf文件做一个储存型XSS漏洞，也是经验不足，浪费了一个漏洞

③这个是最搞笑的，一直重复提交-驳回-提交-驳回，一直到漏洞被修复导致无法复现故而无法归档。这是一个报错注入的漏洞，之前同类漏洞直接归档了，但是不知道这次的为什么审核一定要让我提交明确的数据库实例名。我来来回回提交了三次，第一次只写了POC和执行后的回显，第二次补充了一个用注入拿到的当前用户，第三次补充了一个注入拿到的数据库（没办法，不敢用sqlmap，也不敢多拿数据）

注意：千万不要篡改数据！千万不要非法获取数据！小心使用SQL注入漏洞！小心使用任意文件读取漏洞！

SQL注入漏洞在可能在注册或者更改信息的接口下会出现，写入脏数据或者更改原有信息的情况，所以也就要注意使用sqlmap工具；

任意文件读取漏洞可能调用的是删除文件的接口，确实会有删除文件的接口回显信息的情况，删了文件就麻烦了