漏洞挖掘365天挑战——Day004:CVE是什么?

通常在挖掘过程中,我们会去检查当前系统可能存在的CVE,那CVE到底是什么呢?

CVE介绍

CVE是Common Vulnerabilities and Exposures,通用漏洞披露,是一个公开已知漏洞的数据库。

采用CVE-YYYY-数字的格式。比如,最近的log4j2 CVE为CVE-2021-44228。

Mitre是组织和发布CVE的组织,你可以访问https://cve.mitre.org/ 来获得信息,他们还有一个新网站https://www.cve.org/ 体验更好。

如果你发现了漏洞,就可以去申请CVE,具体步骤可以参考文章末尾的参考资料链接。

CVE查询

1.CVE官网(https://www.cve.org/)

CVE官网是最好的查询信息的地方,但是官网没有搜索关键字的功能,非常痛苦。不过你也可以在Google进行站内搜索。

2.NVD (https://NVD.nist.gov/vuln/search/)

这是一个由CVE.org提供的CVE数据库,不同于官网,网站可以根据操作系统,产品名,版本号,漏洞类型等进行搜索。这个网站提供了更多的查找信息的灵活性。

3.Exploit Database(https://www.exploit-db.com/)

Exploit Database 是对白帽子非常有用的一个数据库。它提供了POC的下载,你可以用来验证CVE

searchsploit是Exploit Database提供的CLI工具,让你可以在终端上很方便的使用。可以访问

https://www.exploit-db.com/searchsploit 获得更多信息。

参考资料

  1. CVE申请的那些事
  2. 如何水一个 CVE
  3. 申请CVE的姿势总结

漏洞挖掘365天挑战——Day004:CVE是什么?”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Google photo

您正在使用您的 Google 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s