提交CVE漏洞是一種怎樣的體驗？

01-04

挖掘網站漏洞的白帽子們都希望能夠發掘0day，那麼提交CVE是一種怎樣的體驗呢

喜悅主要來漏洞本身，以及探索和挑戰的過程。CVE不CVE並不會改變太多。

一般大廠不墨跡都會給你分配，也有墨跡的，或者溝通不暢的（比如apple，提交體驗實在太差，credit強行變成了anonymous researcher，此外還有倆拖了三個月沒處理）這種只能反覆溝通

其他沒主動分配的可以自己申請CVE ID，發郵件CVE REQUEST給cve-assign@mitre.org 帶上漏洞相關信息，CVE ID只是一個編號方便漏洞查詢，具體流程去看一眼mitre的流程就行了

體驗就是

我寫個五句話的郵件估計得半個小時，和@黑哥一樣吃了沒文化的虧

沒什麼感覺。喜悅停留在漏洞調試成功那一刻。

之後知道有CVE號，大概就是下面的樣子:

國際上的大廠商或者大的官方一般會直接給你申請分配cve，我曾經建議國內多家公司跟進，不過目前來看好像就華為開始做了 ... 對於那些不直接給cve的想要直接申請，這個也是國內很多研究者蛋疼的地方 e文／流程啥的個人感覺有點麻煩所以很多時候懶得費那個事～

幾年前剛開始報的時候很激動，記得當時收到廠商確認郵件拿到第一個CVE的興奮的從椅子上跳了起來。

現在拿的CVE多了，跟廠商也熟了。基本對方都很自覺，自己也都懶得去數了，多了也就是個數字而已，還是廠商給的bounty更實在233

利益相關: Apple Google致謝榜常客，Google Android Security 2015 Top Researcher之一。

一般國外的大廠商或者開源項目都會主動為每個漏洞申請CVE。拿PHP來說，他們每個月都會發布更新，基本上每個月都會有修復的安全漏洞，他們主要負責安全問題的人員會指出這些漏洞當中哪些是需要申請CVE的，然後會有專人發郵件為這些漏洞申請CVE，並將申請到的CVE-ID加入對應的漏洞報告中，同時還會在每個版本的changelog中加入相應的信息。

至於拿到CVE後有什麼感受，第一次拿到時有些欣喜，之後的幾十個就毫無感覺了，畢竟對於非安全從業者的我來說，拿多少CVE毫無意義，還是bug bounty實際點：）

拿到之前覺得好牛逼，拿到之後覺得也就那麼樣吧……（但仍還想拿第二個~~）可能到後來感受才會變得像 @redrain root 大神一樣吧~~

跟大神都一樣，我也是沒文化吃虧者之一 233333

#2017.4.6

占坑準備回答

update # 2017.4.7

已發郵件給廠商,等待reply

update #2017.4.9

郵件得到回復,提交的issue確認

#update #2017.4.12

一覺醒來,收到郵件,已收穫第一個CVE-ID

用時總共6天,所以說其實比某些src的錢好拿(滑稽

剛開始激動，後面沒什麼感覺。

看英文如同看智障

一種馬上就要拯救世界的感覺，但轉念一想，還是單身狗……算了算了，不說了……

第一次交漏洞必須激動啊，不過後面也就習以為常了

這時候就是考驗英文水平的時候了（手動滑稽），和廠商基本的郵件交流都費勁，一句話的單詞都要斟酌半天，交洞比挖洞還累人，不過有了CVE id，還是很有鍍金含量的，可以嚇唬人，嚇得我都坐地上了