CVE-2020-15600

CVE-2020-15600

 

作者: Noth

前言 :

隨著越來越了解 OWASP TOP 10，厲害的夥伴們(Honc、Hzllaga) 已經拿到 CVE ID，筆者跟隨著夥伴曾經走過的路，開始挖掘CVE漏洞之旅 xD。

內文 :

筆者不曾想過自己能挖掘到 CVE 漏洞，覺得能力根本不夠去挖掘 xD，後來請教朋友才發覺可以先從小的產品開始上手(開源的CMS)，自己搭環境、挖掘漏洞，在搭建環境的過程中遇到一些 Bug，爬文去解決 ! 當找到 Vulnerability 可以在 Github Issue 向廠商去反應安全問題，等到廠商修補完成可以向 mitre 申請 CVE ID，網路上別人的經驗通常是 2 天內 CVE Team 會分發一個 CVE 編號給申請者，筆者等了4 天 xD 可能很多人都在申請 CVE ID，在挖掘 CVE 的過程中，筆者也發現自己還有需要加強的地方 (代碼審計)，厲害的高手可能以白箱的方式可以挖掘到更多的漏洞，而不只侷限在黑箱的測試，代碼審計的部分還需要去增強、磨練 ! 挖掘 CVE 只是剛開始 ~ 筆者還有很長的一段路要走，期許自己未來的程度能更靠近 Devcore。

Timeline : 

2020/05/31 05:38 Provide vulnerability details to boiteasite issue

2020/05/31 14:57 Receive from boiteasite and confirm the vulnerability

2020/05/31 17:33 Yes, it fixes

2020/07/04 15:01 Provide vulnerability details to CVE Team

2020/07/08 05:14 Obtain CVE ID 

 

Reference : 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15600

https://www.exploit-db.com/exploits/48679