关于漏洞提交的个人见解

本文章仅以CNVD、CNNVD、CVE三个大型公益平台为例，关于SRC另外再说，主要围绕着漏洞挖掘、如何提交、如何拿到证书以及编号等，问题进行阐述.

关于CVE的阐述：
首先说下国际性质的CVE，个人认为CVE最简单也是最好拿到CVE编号的漏洞大多数是cms，当然我这里指的是小众化的，一般大型cms例如Wordpass、oracle、等基本上不是太好挖掘造成的不是很好提交，另外就是主机层的漏洞更不好挖掘以及提交，另外CVE是只收通用类型的为主，似乎事件型的不收（个人认为），然后CVE是不需要截图的你只需要把存在漏洞的代码提交上去即可，然后不管你是机翻，还是手工翻，写一份英文报告发布在GitHub上即可，并且把该链接粘贴至漏洞提交处。

关于CNNVD的阐述：

其次说说国内的CNNVD，个人认为是最难提交的，从web层到主机层的，都很难提交，看过我文章的人都知道我曾经发过一篇闭源通用的文章，该文章就是当时由于挖掘出来，提交至CNNVD最终认定为闭源通用被没收了，从而失败了，由此可见CNNVD是更难提交的，cms要么是大型的，小众化的cms基本上是不收录的，主机层漏洞就更不用说了，然后CNNVD事件型的主要看是否为闭源和开源，通用型的看波及面是否广泛。

关于CNVD的阐述：

最后在说说CNVD，CNVD个人认为还是比较好点的（曾经更好提交）小众化cms，或者大型cms，不管是什么语言基本上都没问题，只要是能够证明的危害基本上都收录的，主机层漏洞也是收录的，不管是通用型还是事件型都是可以的。

个人认为：

但由于近几年来，各种明文条款规则（法律）什么的都在不断的完善当中，所以越来越严格，然后就是规则的变动，个人认为CNVD目前小众化的cms基本上接近一个饱和的状态所以，估计以后很难再提交了，当然不排除有特殊性质的，另外条令条例（法律）中基本上也会限制了针对于事件型的漏洞挖掘，所以这里我不是很建议大家挖掘事件型的，不过可以去选择挖掘一些通用型的，不管是黑盒测试还是白盒测试或者灰盒测试，都是可以只要能够证明就行，有的时候不必要去挖掘事件型的，这个看自己怎么去提交并且通过了，如果我提交的话都会直接跟漏洞审核人员进行协商。

由此以上表达能够看出来一个趋势，以及一个个人认为的排行。

个人建议：

不挖掘或者少挖掘没有授权或者授权不是很大的事件型漏洞，挖掘通用漏洞能不去复现事件型的就不要去复现了吧，毕竟太危险这个谁也保不准，另外提两个真实案例，其实都知道的案例，一个是近期的银川事件，另外一个是几年前的世纪佳缘事件，两个事件均作为一个典型的“农夫与蛇”的故事代表，所以谨慎谨慎再谨慎吧。

首先针对于一个趋势的个人认定：

从大多数漏洞到少数漏洞的一个发展，也就是说一些小众化的不好被收录了，但是大型的还是可以被收录。

 

其次是针对于一个排行的个人认定（从难道易）：

主机类型的漏洞：

1.CVE

2.CNNVD

3.CNVD

web类型的漏洞：

1.CNNVD
2.CNVD
3.CVE

注明：以上所说的均为个人观点，如有不同观点可以找我探讨下互相交流学习