CNVD证书获取的条件:
1、对于中危及中危以上通用型漏洞(CVSS2.0基准评分超过4.0分)(除小厂商的产品、非重要APP、黑盒测试案例不满10起等不颁发证书)。(中危漏洞,公司资产大于5000w,并且通用系统大于10个)
2、涉及电信行业单位(中国移动、中国联通、中国电信及中国铁塔公司)和中央部委级别(不含直属事业单位)的高危事件型漏洞,CNVD将给予原创漏洞证明(即CNVD漏洞证书,电子版),该证明可通过编号在CNVD官方网站进行查询跟踪。
用法:
前期资产搜索:
通过企查查、爱企查、小蓝本等平台获取资产数大于5000w的资产
因为普通会员每次最多查询的数量是10000条左右,所以筛选时加上城市,做到全面的探测
一般的筛选条件是,拥有软件著作权,资产大于5000w,有官网
将获取到的结果导入1.txt文件中
#这里要用到爱企查和FOFA的会员
FOFA的语法
常用语法
title网站标题
例如我们要搜索title中包含鹏组安全的资产。
title="鹏组安全"
body页面内容
body可以通过页面中包含的特定字符串来搜索资产
body="鹏组安全"
app特殊语法
查找特定的系统、设备
app="指挥调度管理平台"
IP端口信息
ip可以查询ip的端口服务信息
ip="202.20.20.10"
domain域名
搜索域名中包含pgpsec.cn的资产,此方法相当于子域名的搜索。
domain="pgpsec.cn"