记获取CVE编号之路

1、CVE概述

CVE 是通用漏洞披露（Common Vulnerabilities and Exposures）的英文缩写，列出了已公开披露的各种计算机安全缺陷。CVE 识别号由 CVE 编号管理机构（CNA）分配。全球目前约有 100 个 CNA，包括各大 IT 供应商以及安全公司和研究组织。

2、如何获取CVE

之前还没有去获取编号之前一直以为CVE编号很难申请，也查询了很多资料去看如何才能获取CVE，途径就是去找CNA提交漏洞。

第一次我根据兄弟们的经验分享去找Participating CNA 申请 CVE 编号，CNA列表在https://www.cve.org/PartnerInformation/ListofPartners。查看半天觉得这些厂商的产品都不是我这种新手能够搞的，翻看一会看到wordpress的收洞条件：

众所周知，WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统,具有插件架构和模板系统,第三方插件非常的多（59686），插件开发者定然水平不一，那就找个插件来试试手

找了个看起来比较~的，是个主页欢迎插件，ps:当时插件没截图，现在因为没整改下架啦

见框就插，成功弹窗，写文档提交给WPscan,https://wpscan.com/submit，不能给wordpress官方，CVE就就轻松获取了，再简单的漏洞wpscan都收，不过这个等的时间比较久，记得当时是等了一个月。

后来陆续找了几个其他插件的漏洞，但是感觉挺麻烦又费时间，又把目光转到了github的cms上，找到了Distributed Weakness Filing Project CNA, 翻译过来是“分布式弱点申报项目”，其实主要是指不在参与 CNA 那些公司里面并且是开源软件或系统的漏洞,给出的提交网站 https://iwantacve.org/已经访问不到。

后来看到了一个平台上的不知名cms也可以获取cve,最终找到最容易且最快的获取方式：

提交平台：https://vuldb.com/

cms寻找平台：https://www.sourcecodester.com/

找php的系统且容易搭的系统，下载源码看看，例如下图，sql注入送到脸上了（不用怀疑，这个平台上的代码基本都是这样）

简单写个文档提到这个网站上，提交填写的内容也特别简单，贴个文档链接就行了。

提交完之后半个小时左右就会分配CVE编号（第一次提交的号可能要等个几天）。

最后就祝兄弟们都拿到自己的CVE编号啦，不过这种都是凑数的，大家还是努力挖大厂商的大大大洞吧~~