CVE PoC：探索公开的CVE漏洞验证代码

项目介绍

CVE PoC 是一个开源项目，旨在收集并整理几乎所有公开可用的CVE（Common Vulnerabilities and Exposures）漏洞验证代码（Proof of Concept，PoC）。该项目由 Trickest 团队维护，通过自动化流程从多个来源收集CVE信息，并将其整理成易于阅读的Markdown文件。用户可以通过该项目快速找到特定CVE的PoC，从而进行漏洞测试和安全评估。

项目技术分析

技术架构

CVE PoC 项目的技术架构基于 Trickest 的工作流架构，通过以下步骤实现自动化数据收集和处理：

1. CVE数据收集：从 cvelist 项目中收集CVE的详细信息。
2. 数据分割：将CVE按年份进行分类。
3. PoC查找：使用两种技术查找每个CVE的PoC：
   • 参考链接查找：通过分析CVE的参考链接，使用 ffuf 工具和关键词列表（如“poc”、“proof of concept”等）来识别PoC。
   • GitHub搜索：使用 find-gh-poc 工具在GitHub上搜索提及CVE ID的仓库。
4. 数据合并与过滤：将新收集的结果与手动提交的数据合并，并通过 blacklist.txt 过滤误报。
5. 结果生成：生成GitHub徽章，并将所有信息写入易于阅读的Markdown文件。

自动化流程

项目中的几乎所有内容都是通过自动化流程生成的，确保结果的准确性和及时性。Trickest团队不断优化工作流，以提高数据的质量和覆盖率。

项目及技术应用场景

应用场景

• 安全研究人员：快速查找和验证特定CVE的PoC，进行漏洞分析和研究。
• 企业安全团队：监控和评估公司使用的软件版本是否存在已知漏洞，并及时采取防护措施。
• 漏洞赏金猎人：通过项目提供的PoC进行漏洞测试，发现并报告新的安全漏洞。
• 教育与培训：作为网络安全课程的辅助工具，帮助学生理解和实践CVE漏洞的验证过程。

技术应用

• 自动化数据收集：通过自动化工具和脚本，高效地从多个来源收集和整理CVE信息。
• 关键词匹配与过滤：使用正则表达式和关键词列表，精确识别和过滤PoC链接。
• Markdown文件生成：将收集到的信息自动生成易于阅读和分享的Markdown文件。

项目特点

1. 全面覆盖

CVE PoC 项目几乎涵盖了所有公开可用的CVE PoC，用户可以快速找到所需的信息。

2. 自动化处理

项目通过自动化流程收集和整理数据，确保信息的及时性和准确性。

3. 易于使用

生成的Markdown文件结构清晰，用户可以轻松浏览和查找特定CVE的PoC。

4. 社区支持

项目欢迎社区的贡献和建议，用户可以通过GitHub Issues或Twitter与团队互动。

5. 可定制化

用户可以通过 Trickest 平台定制工作流，满足特定的需求和场景。

结语

CVE PoC 项目为安全研究人员、企业安全团队和漏洞赏金猎人提供了一个强大的工具，帮助他们快速查找和验证CVE漏洞。通过自动化流程和社区支持，该项目不断优化和扩展，为用户提供更全面和准确的信息。无论你是安全领域的专业人士还是初学者，CVE PoC 都是一个值得关注的开源项目。

立即访问 CVE PoC 项目，开始你的漏洞研究之旅吧！