基本原则  

荣耀非常重视自身产品和业务的安全，也希望通过和安全社区及业界同仁共同合作，来帮助我们不断提升自身产品和业务的安全性，因此，我们发布了荣耀互联网服务安全漏洞奖励计划。我们承诺，对每一位报告者反馈的问题都会有专人跟进、分析和处理，并及时给予答复。

用户协议与隐私声明

您需要同意《荣耀安全应急响应中心用户协议》和《关于荣耀安全应急响应中心与隐私的声明》，才能参与荣耀互联网服务安全奖励计划。

奖励计划范围

本计划仅针对荣耀所属业务，包括APP应用以及所属域名下的服务：  

●APP应用包括：  

荣耀商城、我的荣耀、荣耀亲选、荣耀账号、查找设备、负一屏、快服务中心、精品服务、快应用、智慧搜索、荣耀应用市场、游戏中心、游戏管家、荣耀云、主题、运动健康、智慧空间、热门推荐、魔法画报

●如下域名中的业务：  

www.honor.com/cn

qinxuan.honor.com

www.honor.com/cn/shop

cloud.honor.com

hnid-drcn.cloud.honor.com

developer.honor.com/cn/

iforum-cn2.c.hihonor.com

club.honor.com

club-api.c.honor.com

selfservice-mng-cn.hihonor.com

myhonor.c.hihonor.com

selfservice-cn.honor.com

umm-cn.honor.com

selfservice-cn.hihonor.com

customersvc-drcn.platform.hihonorcloud.com

assetscdn.c.hihonor.com

talks-api.c.hihonor.com

talks.c.hihonor.com

mcopenapi-grey-cn.c.hihonor.com

mcopenapi-cn.c.hihonor.com

以上范围会定期刷新，请及时关注。  

漏洞评分标准  

根据漏洞的危害程度将其等级分为【严重】、【高】、【中】、【低】四个等级。  

●锁定时间：针对通用型漏洞 (比如struts2)，从官方发布安全公告开始计算，我们会有相应的“锁定时间”，在这个时间里，我们会对业务进行排查、修复及补丁推送。在此期间内提交的漏洞，我们将不再予以奖励。锁定时间后，如果仍旧发现了相关的漏洞，并且可以通过PoC验证实际影响业务的，我们会给第一个提交者奖励，等级一般不高于中危。  

· Web网站&服务：锁定时间为1个月  

· Android客户端产品(APP)：锁定时间为3个月  

●漏洞奖励额度还取决于受影响业务的重要性。  

●远程：指在不安装应用或不实际接触设备的情况下利用漏洞实施攻击，包括通过网页浏览、文件下载和关联文件打开等方式。  

●本地：指利用漏洞实施攻击需要在受害系统中安装应用，或者需要物理接触设备。  

●特权应用：指在SELinux(或SEAndroid)的system_app域中运行的应用或进程，也包括以system级别的权限运行的进程。  

●多个研究者重复上报的漏洞，我们将只对第一位上报漏洞的研究者给予奖励；  

●有时候一个报告会包含多个安全漏洞（利用多个漏洞利用造成影响），或者多个安全报告最终指向一个安全漏洞(比如,同一个越权导致的可以查看,修改)，我们将视最终的影响结果进行奖励；  

●对于同一个域名下的利用手段相似或具有利用顺序关系的多个漏洞，我们将对这些漏洞进行合并同时酌情提高奖励。例如：同一域名多个接口存在越权、弱口令进入后台产生的多个漏洞；

●同一漏洞源产生的多个漏洞，如同一个JS引起的多个安全漏洞、同一发布系统引起的多个页面安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞、同接口多个参数XSS漏洞/SQL注入、同一资源ID导致的越权等，按照同一漏洞收取；

●如果对漏洞级别和奖金额度有任何疑议，请及时和荣耀进行沟通解决；  

●如果您按照要求提交高质量的漏洞报告，包含且不限于报告完整，有测试代码，分析过程、利用方式说明，危害说明，并提供poc，exp的等报告有助于我们快速复现问题及优质修复建议，我们将会给予更高的奖励额度；  

●奖励金额最终由荣耀评估小组决定。  

不在奖励计划范围的问题

●基于流量的拒绝服务攻击；  

●应用程序错误、服务器错误信息；  

●公开文件、目录、数据、页面的信息；  

●没有证明实际危害的扫描工具报告；  

●需要物理访问用户设备的攻击或中间人攻击；  

●登录/忘记密码页面的用户枚举；  

●暴力破解导致的账户锁定；  

●不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题；  

●无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏；  

●不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题；  

●遍历手机号发短信，遍历用户名（邮箱）判断是否已注册、邮箱轰炸、验证码爆破、无额外验证导致可爆破（非重点核心功能）、无任何意义或影响的越权；（对同一个手机号发送大量短信，对同一个邮箱地址发送大量邮件）  

●任何非敏感信息泄露（如IP地址，服务名称以及一些无用的错误信息，如栈跟踪信息）；  

●无影响的测试环境系统中的安全问题；  

●针对原始版权类问题不作为有效范围，包含不限于音乐、图片、主题、字体等。  

●针对提供给开发者进行调测能力设备或者特性的拒绝服务漏洞，如云调试，云测试  

●存在于非奖励计划范围内的漏洞（对影响较大的漏洞可例外评估）；

●荣耀业务的测试环境，包括且不限于域名中含有sit、test、uat，或业务为开发测试之用的域名的漏洞，漏洞等级将适当进行降级，同时仅对高危及以上的漏洞给予现金奖励

测试过程中的禁止行为  

●任何类型的拒绝服务测试；  

●通过软件或者工具自动扫描产生大量数据流量的行为；  

●任何对荣耀互联网服务造成中断或破坏的行为；  

●禁止访问、下载、修改或删除他人及系统的数据，仅允许通过POC证明问题存在；  

●测试结束后第一时间清除测试过程中所涉及的任何数据，包含不限于账号信息、个人数据等不属于您的数据，不得非法留存及使用；  

●对荣耀员工或荣耀互联网服务的用户发起网络钓鱼或者社会工程学攻击；  

●违反法律的行为，详情请参见《荣耀安全奖励计划用户协议》。  

额外奖励  

对于荣耀互联网服务云服务核心业务的造成严重影响的漏洞，我们会进行额外奖励，奖金额度最高10万人民币。  

参与人限制  

荣耀员工（正式员工和外包员工）及其直系亲属不能参与该奖励计划。详情请参见《荣耀安全应急响应中心用户协议》中“参与本计划的资格条件”章节。  

披露策略  

我们要求在您上报的安全漏洞被修复之前，不要对外披露（这包括除您之外的任何第三方）。若您打算在我们修复漏洞之后公开讨论漏洞，这包括会议演讲，发表技术分享文章等，请提前联系security@hihonor.com。