奖励范围更新！华为乾坤现已加入华为安全奖励计划~

产品介绍

产品信息参考地址：

产品所属奖励计划：

严重：奖金最高100000元

1.可永久植入能绕过内建检测和安全防护的恶意程序，及可访问华为核心机密资产；
2.远程获取root用户权限并执行任意代码、命令；
3.在未授权状态下远程访问受保护的数据；

高：奖金最高50000元

1.在局域网内获取root用户权限并执行任意代码、命令；
2.在未授权状态下远程发起永久性拒绝服务攻击导致大量用户的设备无法再使用，或者需要重新刷写整个系统才可恢复；
3.无需用户交互即可远程开启或关闭通常由用户才能发起的功能，或需要获得用户许可后方可使用的功能；
4.远程绕过设备的安全保护功能（如安全告警）；

中：奖金最高5000元

1.在本地获取root用户权限并执行任意代码、命令；
2.在未授权状态下远程访问不受保护的数据，可在一定条件下对用户造成危害；

低：奖金最高1000元

1.发起暂时性拒绝服务攻击导致系统挂起或设备重新启动，影响系统可用性；
2.安全配置不当，如，硬编码密码，弱加密算法或哈希算法。

漏洞定级和奖金评定说明：

• 漏洞级别参考CVSSv3.1作为基础打分，但最终定级由华为评估小组根据漏洞影响、利用难度、技术难度、报告质量等因素来综合确定；

• 如果您按照要求提交高质量的漏洞报告，有助于我们快速复现问题，实施解决措施，相比低质量的漏洞报告，我们将会在评估奖金时授予更高的奖励额度；

• 多个研究者重复上报的漏洞，我们将只对第一位上报漏洞的研究者给予奖励；

• 一个报告会包含多个安全漏洞（利用多个漏洞利用造成影响），或者多个安全报告最终指向一个安全漏洞，我们将视最终的影响结果按照一次有效上报来奖励；

• 如果安全措施已经对漏洞的利用进行了消减，使漏洞利用及攻击无法被真正实施，我们将会降低该漏洞的级别或者认定其为无效；

• 对于不在奖励计划范围内的自研漏洞或情报，如果经评估造成了高危或者严重影响，我们会酌情评估提供上限不超过1000元的奖励；

• 漏洞级别和奖金由华为评估小组根据本奖励计划相关规则评定，如果您对漏洞级别和奖金额度有任何疑议，请及时和华为PSIRT进行沟通解决。

左侧扫码关注

华为安全应急响应中心

获取更多精彩内容