1、什么是CVE

对于新手来说申请CVE总是摸不清门道，总觉得像这种国际化的高大上漏洞很难申请到，其实则不然，CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典，大家可以通过编号在这里查找不同应用或系统的漏洞信息。当然很多安全企业或国家机构也都会引用CVE作为其漏洞库，比如美国国家漏洞数据库（NVD）。

2、什么是CNA

CNA的全称是“CVE Numbering Authority”中文可以理解为“CVE编号授权机构”顾名思义就是这些CNA有权限分配和管理CVE编号，截止目前为止，共有85个CNA，覆盖14个国家。CNA包括供应商（比如苹果、谷歌等公司）和项目发起机构，漏洞研究人员、国家和行业CERT以及漏洞奖励计划组织。这些CNA可以构建CVE列表，并分配列表中的CVE编号和录入相关信息。

3、应该怎么申请CVE

3.1、三种方法

第一种：找Participating CNA要CVE编号
第二种：找Primary CNA要CVE编号
第三种：找Distributed Weakness Filing Project CNA要CVE编号

第一种

你可以把他们理解为参与CVE计划的公司或项目发起者，总之就是有产品拿出来让大家挖漏洞的，这些CNA有一个列表，这种相对来说困难一点 

优点：审核速度比较快 

缺点：范围小

第二种

和第一种的区别是：区别在于如果你找到的漏洞不在参与CNA那些公司里面，但是漏洞又确实存在，那么就可以找MITRE官方来申请编号，审核的速度比较快 

优点：审核速度比较快，范围比较广

第三种

主要是指不在参与CNA那些公司里面并且是开源软件或系统的漏洞 

优点：范围比较广

缺点：审核速度极其慢 

想要审核速度快：第一种呢是列表里的厂家的漏洞，第二种呢是除了第一种以外的所有漏洞

3.2、申请编号

3.2.1、申请方式：我这里是通过第二种方式进行申请的

3.2.2、寻找目标，发现漏洞：

（1）、在github上寻找开源cms进行代码审计 

（2）、百度查找开源cms，进行代码审计（我是利用的这个方法）

3.2.3、提交到mitre官方平台

页面在https://cveform.mitre.org/填写好验证码提交即可 提交后一般马上会收到官方的确认邮件不用理会，过些天就会有审核的结果邮件，邮件里会有你提交漏洞的信息和分配的编号。

过了大概半个月终于发邮箱了此时兴高彩烈地去cve官方查看该cve编号发现确是保留候选人状态 

大概过了两个月，在网上看到一篇文章说可以申请公开漏洞

3.2.4、申请公开cve

打开链接：https://cveform.mitre.org来到如下界面 

选择Notify CVE about a publication

输入验证码，进行提交提交后同样会自动回复一封邮件，不用理会过几天就会收到一封申请公开成功的邮件

去cve进行查询

https://www.cve.org

https://cve.mitre.org

欢 迎 加入学习

推 荐 阅 读