本仓库是 Nday 安全研究知识库,不再只按“能不能利用”来评价条目价值。一个好条目应当让人和 AI agent 都能判断:这个漏洞是什么、资料来自哪里、影响什么版本、什么条件下成立、哪里容易误报、如何修复或缓解。
- 维护者可以直接提交到
main。 - 社区贡献可以通过 Issue 或 Pull Request 提供新条目、纠错、来源补充、误报说明和修复建议。
- 大规模重命名或目录迁移要优先保留旧路径兼容,避免破坏外部引用。
优先使用以下结构:
CVE/CVE-YYYY-NNNN[_简短标题]/README.md
CNVD/CNVD-YYYY-NNNN[_简短标题]/README.md
CNVD/厂商或产品 漏洞简短标题/README.md
图片放在同级 img/ 目录,检测规则或辅助材料放在条目目录下,并在 README 中说明用途。
source card: 漏洞编号、产品、影响版本、状态、可信度、最后复核日期。- 背景简介:说明漏洞类型和影响面。
- 来源链接:官方公告、CVE/NVD/CNVD、厂商补丁、研究文章等。
- 验证条件:需要的版本、配置、权限、网络暴露面和实验环境。
- 证据:截图、响应特征、日志片段或最小复现说明。
- 误报点:扫描器常见误报、版本差异、补丁绕过误判等。
- 修复建议:升级、补丁、配置缓解、检测建议。
模板见 templates/vulnerability-entry.md。
- 未授权目标的真实数据、账号、密钥、Cookie、Token、内网地址。
- 未协调披露的 0day 细节。
- 会直接造成破坏、持久化、横向移动或数据窃取的自动化流程。
- 没有来源、没有复现条件、无法判断适用范围的纯转载内容。
- 与条目无关的二进制文件、压缩包或大体积附件。
提交前请确认:
- 文件名是
README.md,不是REAMD.md。 - 引用链接能打开,或者已标注断链和来源快照。
- 图片使用相对路径,例如
img/1.png。 - payload 或请求样例已脱敏,不包含真实目标信息。
- 已说明条目状态:
legacy-unreviewed、normalized、verified或deprecated。 - AI agent 可以根据路径、来源和状态正确引用本条目。