通常在挖掘过程中，我们会去检查当前系统可能存在的CVE，那CVE到底是什么呢？

CVE介绍

CVE是Common Vulnerabilities and Exposures，通用漏洞披露，是一个公开已知漏洞的数据库。

采用CVE-YYYY-数字的格式。比如，最近的log4j2 CVE为CVE-2021-44228。

Mitre是组织和发布CVE的组织，你可以访问https://cve.mitre.org/ 来获得信息，他们还有一个新网站https://www.cve.org/ 体验更好。

如果你发现了漏洞，就可以去申请CVE，具体步骤可以参考文章末尾的参考资料链接。

CVE查询

1.CVE官网(https://www.cve.org/)

CVE官网是最好的查询信息的地方，但是官网没有搜索关键字的功能，非常痛苦。不过你也可以在Google进行站内搜索。

2.NVD (https://NVD.nist.gov/vuln/search/)

这是一个由CVE.org提供的CVE数据库，不同于官网，网站可以根据操作系统，产品名，版本号，漏洞类型等进行搜索。这个网站提供了更多的查找信息的灵活性。

3.Exploit Database(https://www.exploit-db.com/)

Exploit Database 是对白帽子非常有用的一个数据库。它提供了POC的下载，你可以用来验证CVE

searchsploit是Exploit Database提供的CLI工具，让你可以在终端上很方便的使用。可以访问

https://www.exploit-db.com/searchsploit 获得更多信息。

参考资料

1. CVE申请的那些事
2. 如何水一个 CVE
3. 申请CVE的姿势总结