日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
聊聊CVE漏洞編號(hào)和正式公開那些事

CVE編號(hào)獲得易,正式公開難!有價(jià)值更難!!

獲得CVE編號(hào)并不等于這個(gè)漏洞是有價(jià)值的,甚至說這個(gè)漏洞都不一定是真實(shí)存在的。這主要源于CVE編號(hào)頒發(fā)機(jī)構(gòu)開放式的工作模式,后面我們會(huì)詳細(xì)介紹。

那么什么樣的漏洞是有價(jià)值的呢?小編認(rèn)為最起碼要保證原創(chuàng)漏洞的真實(shí)可靠和受影響面的廣泛度。以綠盟連續(xù)五年獲得的微軟MBB獎(jiǎng)勵(lì)計(jì)劃為例,其要求原創(chuàng)漏洞必須滿足如下指標(biāo),包括:漏洞利用必須可靠,且有合理的請(qǐng)求;提交的技術(shù)、方法必須新穎,適用于Windows體系的利用遠(yuǎn)程代碼執(zhí)行漏洞;必須適用于高風(fēng)險(xiǎn)的應(yīng)用程序,如瀏覽器或文檔閱讀器;必須是通用的,即適用于多個(gè)內(nèi)存崩潰漏洞;漏洞必須來源于微軟產(chǎn)品的最新版本等。該計(jì)劃按漏洞價(jià)值獎(jiǎng)勵(lì)5千-6萬美金不等。在最近的2017年公布的獎(jiǎng)勵(lì)計(jì)劃中,綠盟研究院獲得1萬美金。

2017微軟MBB賞金計(jì)劃獲獎(jiǎng)名單

小編腦洞一下,假如有一個(gè)安全研究團(tuán)隊(duì)可以具有8個(gè)月發(fā)現(xiàn)200個(gè)原創(chuàng)CVE漏洞的速度,且是有價(jià)值可公開的,那么粗算下獎(jiǎng)金,將獲得約600萬人民幣。近8個(gè)月,安全圈里光挖洞,就可以誕生好幾位百萬富翁,但是事實(shí)上,并沒有。為什么?

下面小編就帶你看看一個(gè)CVE漏洞編號(hào)是如何誕生的,聊聊為什么獲得CVE漏洞編號(hào)并不等于漏洞挖掘能力。

一、CVE漏洞編號(hào)是誰頒發(fā)的?

CVE開始是由MITRE Corporation負(fù)責(zé)日常工作的。但是隨著漏洞數(shù)量的增加,MITRE將漏洞編號(hào)的賦予工作轉(zhuǎn)移到了其CNA(CVE Numbering Authorities)成員。CNA涵蓋5類成員。目前共有69家成員單位。

1.MITRE:可為所有漏洞賦予CVE編號(hào);

2.軟件或設(shè)備廠商:如Apple、Check Point、ZTE為所報(bào)告的他們自身的漏洞分配CVE ID。該類成員目前占總數(shù)的80%以上。

3.研究機(jī)構(gòu):如Airbus,可以為第三方產(chǎn)品漏洞分配編號(hào);

4.漏洞獎(jiǎng)金項(xiàng)目:如HackerOne,為其覆蓋的漏洞賦予CVE編號(hào);

5.國(guó)家級(jí)或行業(yè)級(jí)CERT:如ICS-CERT、CERT/CC,與其漏洞協(xié)調(diào)角色相關(guān)的漏洞。

二、如何獲得CVE編號(hào)

步驟1:預(yù)定CVE漏洞編號(hào)

(1) 填申請(qǐng)表申請(qǐng)CVE編號(hào)

申請(qǐng)表中會(huì)要求填寫漏洞類型、產(chǎn)品廠商、受影響產(chǎn)品或代碼及版本、廠商是否已確認(rèn)該漏洞、攻擊類型、影響類型、受影響組件、攻擊方法或利用方法、CVE描述建議等。

其中,CNA成員單位產(chǎn)品相關(guān)的漏洞,必須發(fā)給該CNA成員并向其申請(qǐng)CVE編號(hào)。

(2) MITRE或CNAs成員保留并向提交者分配CVE編號(hào)

提交者會(huì)收到如下郵件。

(3) MITRE在CVE網(wǎng)站創(chuàng)建跟這些CVE編號(hào)有關(guān)的無內(nèi)容的“空白”頁面;漏洞狀態(tài)為RESERVED。

也就是說,RESERVED(保留)狀態(tài)只是說MITRE和CNAs成員收到了這個(gè)漏洞,漏洞質(zhì)量或真實(shí)性是未經(jīng)過驗(yàn)證的。

那么CVE漏洞是如何驗(yàn)證的,如何確保其是真實(shí)有效的漏洞,下面就是關(guān)鍵的一步。

步驟2:公開CVE漏洞進(jìn)行驗(yàn)證

(4) 公開漏洞信息

請(qǐng)求者需通過可靠渠道公開披露或與漏洞相關(guān)方分享這些CVE-ID編號(hào)漏洞信息。比如聯(lián)系上面列舉的的CNAs列表中的廠商,他們將在其首次公開宣布你的新漏洞時(shí)包含CVE-ID編號(hào),多數(shù)廠商會(huì)在致謝詞中提及漏洞致謝者的名稱,如下所示。

(5) 請(qǐng)求和將公開的CVE-ID編號(hào)通知MITRE。

MITRE去掉RESERVED標(biāo)識(shí),公開漏洞詳細(xì)信息,并且reference中會(huì)包含廠商的漏洞公開頁面。也就是說只有這個(gè)階段的漏洞才是經(jīng)過驗(yàn)證為真實(shí)的有效的漏洞。

MITRE的這一措施是為了對(duì)CVE的漏洞質(zhì)量進(jìn)行把控,比如有些提交者提交的漏洞被發(fā)現(xiàn)是虛假的或存在問題的

最后,小編告訴大家一個(gè)秘密:只有狀態(tài)已經(jīng)為公開的才是有效的漏洞,否則僅僅是預(yù)定了一個(gè)CVE編號(hào),很大可能毫無價(jià)值和意義!

【本文是專欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)通過聯(lián)系原作者獲取授權(quán)】


本文題目:聊聊CVE漏洞編號(hào)和正式公開那些事
本文網(wǎng)址:http://www.5511xx.com/article/djooisj.html