实战 | 记一次拿CNVD原创漏洞证书
2022-11-18 10:37:59
Author: 寰宇卫士(查看原文)
阅读量:35
收藏
安全的本质是人与人的对抗,攻防实战便是对抗的一种表现形式,无论是安全研发,还是安全服务,实战才是硬道理。网络安全的学习过程,就是不断在实战演练中积累实操经验的过程。除了通过开源安全项目学习外,通过在CNVD漏洞平台尝试挖洞是一条高效的实战路径。不仅能提升实战经验,如果发现了原创漏洞还能够获得相应证书。总的来说有以下好处:① CNVD 原创漏洞证书可以通过证书编号到官网查询,是漏洞挖掘的能力证明。② 在安全求职就业方面,比如将其写在简历中对于找工作是加分项。③ 除此之外,在攻防演练、渗透测试等安全业务合作中,也属于“硬通货”。CNVD是国家信息安全漏洞共享平台(China National Vulnerability Database,简称 CNVD),是由国家计算机网络应急技术处理协调中心(中文简称国家互联网应急中心,英文简称 CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。CNVD整合了国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等等,共同建立了软件安全漏洞统一收集验证、预警发布及应急处置体系,既提升我国在安全漏洞方面的整体研究水平和及时预防能力,也带动国内相关安全产品的发展。CNVD 漏洞主要分为事件型漏洞和通用型漏洞。挖洞思路无非以下三种:1、查找网上公开漏洞库或漏洞平台,如:SeeBug 漏洞库、Exploit-db 漏洞库、PeiQi 漏洞库、CVND/CVE/CNNVD 平台等,查看国内外厂商已爆出的安全漏洞(Nday漏洞),针对公司注册资金5千万及以上的厂商,根据已爆出安全漏洞的系统再去挖掘出新的漏洞(通用或事件型漏洞)。2、通过天眼查、企查查、爱企查等平台,筛选注册资金5千万及以上的公司,到网络空间资产测绘系统(FoFa、Zoomeye、360 等)搜索该公司相关通用资产,挖掘通用型漏洞(中危及以上)。3、针对国内通信运营商(中国移动、中国电信、中国联通、中国铁塔),涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等),挖掘事件型漏洞(高危)。CNVD 原创漏洞审核处置流程涵盖审核归档、验证处置、公开披露、评分认证等多个环节。CNVD 原创漏洞证书是为了肯定漏洞报送者(白帽子)在防范漏洞安全风险的积极作用,由 CNVD 官方制作并发布给报送者的电子证书。原文来自「HACK学习呀」|侵删
中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商,也是能源互联网安全专家。我们每天都会分享各种IT相关内容,如果您有任何关于IT疑问,欢迎给我们留言。
文章来源: http://mp.weixin.qq.com/s?__biz=MzIwMzU0NDY5OA==&mid=2247495477&idx=1&sn=b32ab1e888f0ddf00dee7dcef606c5f9&chksm=96cf6e20a1b8e73674bdcaf2aba9ebc43ab69e15a12bb142866c5b753bcf67107e06643366e3#rd
如有侵权请联系:admin#unsafe.sh