CNVD和CNNVD披露漏洞教程（个人申报）

CNVD披露流程

1、在www.cnnvd.org.cn注册一个账号。
注册账号的链接为：www.cnvd.org.cn/user/regist ，注册时需阅读上报须知：www.cnvd.org.cn/sbxz。

2、登录链接为：www.cnvd.org.cn/user/login

3、成功登录后修改个人信息，如果工作单位为空，默认是个人。这会影响到漏洞证明上的信息。

4、如果要上报漏洞选择 漏洞上报->立即上报漏洞 会进入上报漏洞页面，上报分为事件型漏洞和通用型漏洞。

5、上报页面之中找到 基本信息->漏洞所属类型 可以区分提交事件型还是通用型。不同类型需要的信息不同，按照实际情况提交即可。

6、上报时候需要注意，黑盒方式提交漏洞需要至少十个互联网之中受影响案例，白盒方式则需要详细的代码审计过程或者逆向过程。
通常提交附件为 word报告+POC/EXP+待测试程序+复现操作录屏 的压缩包(可以是空密码)。

获得证明的标准

通用型
中危及中危以上的通用性漏洞（CVSS2.0基准评分超过4.0） 软件开发商注册资金大于等于5000万人民币或者涉及党政机关、重要行业单位、科研院所、重要企事业单位（如：中央国有大型企业、部委直属事业单位等）的高危事件型漏洞 通用型漏洞得十个网络案例以上。

事件型
事件型漏洞必须是三大运营商（移动、联通、电信）的中高危漏洞，或者党政机关、重要行业单位、科研院所、重要企事业单位（如：中央国有大型企业、部委直属事业单位等）的高危事件型漏洞才会颁发原创漏洞证书。

官方的说法（条件）：
感谢您对CNVD的支持，对于通过CNVD归档的原创漏洞，只颁发
（1）对于中危及中危以上通用型漏洞（CVSS2.0基准评分超过4.0分）（除小厂商的产品、黑盒测试案例不满10起等不颁发证书）
（2）涉及电信行业单位（中国移动、中国联通、中国电信及中国铁塔公司）和中央部委级别(不含直属事业单位)的高危事件型漏洞，

CNNVD披露流程

1、CNNVD 提交漏洞之前需要准备一个邮箱，邮箱可以为企业邮箱或者个人邮箱。
通过电子邮箱 [email protected] 接收漏洞，如有相关问题，请联系：010-82341115。
漏洞上报则需要先阅读http://www.cnnvd.org.cn/web/wz/tzdym.tag?sign=addvulnerability。

2、需要注重邮件的格式，格式如下：
提交漏洞时，建议邮件遵循以下格式：
邮件主题为漏洞名称（如：XX产品XX漏洞）；
邮件内容包含“漏洞报送单位+提交人员姓名+联系电话”；
其他内容如所提交信息如有保密、隐私等特殊要求，应在提交时说明；
常用的邮件模板：
title: Weblogic 12 产品 反序列化漏洞
邮件内容：XXX公司+张三+188XXXXXXXX 特殊要求：无

3、提交通用型漏洞验证录像和POC，辅助漏洞处置工作。一定要按照标准压缩格式提交邮件附件，标准格式附件样例：
通用型漏洞标准压缩格式下载：http://www.cnnvd.org.cn/web/wz/attached/tongyong.zip
事件型漏洞标准压缩格式下载：http://www.cnnvd.org.cn/web/wz/attached/shijian.zip

4、提交漏洞后,CNNVD将会在1个工作日内予以确认回复，如未收到漏洞提交成功的回执邮件,请您重新提交或与CNNVD联系。