如果你认为你发现了零日漏洞，该怎么办？(白色帽子风格)

Question

有人发现零日漏洞了吗？

我知道一些黑帽子黑客在网上出售这种信息。但如果你是白帽..。

• 要执行哪些步骤？
• 如何确保CVE以您的名字发布？谁负责这方面的管理？

谢谢。

Answer 1

我自己也告诉了供应商这个漏洞，但是他们不同意，所以我把它透露给了-db和tor :)，一个月后，他们修复了这个漏洞。

如果你想要白帽黑客风格的话，

1.通知所有者/供应商(发送邮件)，解释漏洞，他们会为漏洞提供修补程序。

2.您可以在CVE上发布它：https://cve.mitre.org/cve/cna.html遵循网站中给出的方法

黑帽黑客风格

1.在Tor浏览器上销售

2.利用-db：https://www.exploit-db.com/披露

3.在利用集线器上销售：https://blog.exploithub.com/

4.在ZDI：http://www.zerodayinitiative.com/上出售

Answer 2

有一个国际标准化组织专门研究这个问题，https://www.iso.org/standard/45170.html。

人们普遍接受与受影响的供应商合作，让他们有时间在合理的时间框架内解决问题。谷歌项目零采取90天的立场，修复从最初披露到供应商和全面披露从这一点。