CVE 官网提交流程
- 一、进入官网申请
- 二、公开流程
- 三、拓展
- 四、补充(部分公司单独提交cve申请)
一、进入官网申请
https://cveform.mitre.org/
选择申请CVE ID即可。
Vulnerability type | 翻译(chatgpt-3.5) |
---|---|
buffer overflow | 缓冲区溢出是一种软件漏洞,攻击者在向缓冲区写入超出其容量的数据时,可能导致数据覆盖、程序崩溃或执行恶意代码的问题。 |
Cross Site Request Forgery (CSRF) | 跨站请求伪造(CSRF)是一种攻击方式,利用受害者在已认证的网站上的登录凭证,通过诱导受害者完成操作来执行未授权的操作,如更改密码、发起转账等。 |
Cross Site Scripting (XSS) | 跨站脚本攻击(XSS)是一种攻击方式,攻击者向受信任的网站注入恶意脚本代码,当其他用户访问该网站时,恶意脚本会在其浏览器上执行,导致未经授权的行为,如窃取用户信息或修改网页内容。 |
Directory Traversal | 目录遍历(Directory Traversal)是一种攻击技术,攻击者试图访问或遍历应用程序的文件系统中的目录或文件,通过修改文件路径,绕过应用程序的安全限制,并访问不应该公开的文件或目录。 |
Incorrect Access Control | 错误访问控制(Incorrect Access Control)是指在应用程序或系统中存在配置错误或实现缺陷,使攻击者能够绕过权限限制,以未经授权的方式访问敏感资源或执行受限操作。 |
Insecure Permissions | 不安全的权限(Insecure Permissions)指的是在系统或应用程序中,对于敏感文件、目录或功能的权限设置不正确,造成了未经授权用户或攻击者能够获取、修改或执行这些敏感资源的风险。 |
Integer Overflow | 整数溢出(Integer Overflow)是指在编程中,当一个整数变量超出了允许的最大值或最小值时,导致溢出错误和不可预料的行为发生。这可能导致数据损坏、程序崩溃甚至安全漏洞的发生。 |
Missing SSL Certificate Validation | 缺失SSL证书验证(Missing SSL Certificate Validation)是指在进行安全通信时,应用程序未正确验证服务器的SSL证书的有效性或合法性,导致可能被中间人攻击者劫持或篡改通信内容。 |
SQL injection | SQL注入(SQL Injection)是一种常见的Web应用程序漏洞,攻击者通过在应用程序的输入字段中注入恶意的SQL代码,来执行未经授权的数据库操作,如删除、修改或泄露敏感数据。 |
XML external entity (XXE) | XML外部实体(XXE)是一种安全漏洞,攻击者通过在XML解析过程中引入恶意实体引用,来读取本地文件系统的敏感信息,执行远程请求,甚至可能导致服务器拒绝服务。 |
二、公开流程
大约在半个月或者一个月有回信
这个时候就需要公开一些信息,比如这个漏洞的信息需要有,网上都是gist,那我也是gist。
https://gist.github.com/ (记得公开,默认是私有的!!!!!!!!!在右上角edit那!)
三、拓展
常用的就是report Vulnerability / Request CVE ID
以及公开的时候用 Notify CVE about a publication
其他就是更新或者查询
四、补充(部分公司单独提交cve申请)
To obtain CVE IDs about Mozilla products (e.g., SpiderMonkey), please see:
https://www.cve.org/PartnerInformation/ListofPartners/partner/mozilla
https://www.cve.org/ProgramOrganization/CNAs
To obtain CVE IDs about Microsoft products, please see:
https://www.cve.org/PartnerInformation/ListofPartners/partner/microsoft