Suchst du nach Fehlern oder Sicherheitsproblemen?
Als Online-Unternehmen sind wir immer auf der Suche nach Identifizierung und Behebung von Fehlern in unserem System, und wir zahlen Belohnungen für gemeldete Sicherheitslücken. Die Höhe der Zahlung variiert je nach Schwere der Sicherheitslücke.
- Wenn du bereits eine gefunden hast, sende bitte die Details per E-Mail an marketplace-security@roll20.net, aber lies unbedingt die Hinweise und Anweisungen unten.
- Wenn du Schwachstellen untersuchen möchtest, untersuche nicht unsere Live-Site.
Führe bitte alle Penetrationstests auf http://oldpentest.drivethrurpg.com und auch auf https://newpentest.drivethrurpg.com durch. Das sind die einzigen Domains und Subdomains, die du testen solltest, und wir sind mehr an Schwachstellen auf der "newpentest"-Website interessiert, da dies unsere neuere Codebasis ist, die die alte ersetzen wird. Wir zahlen nur minimale Beträge für die ältere Codebasis, es sei denn, es handelt sich um einen kritischen Fehler.
Beachte, dass wir Prämien für tatsächliche Website-Bugs und Schwachstellen zahlen, aber nicht für "Best Practices"-Probleme. Als nur ein Beispiel: Das Nicht-Invalidieren von Sitzungen nach einem Passwort-Reset wird als "Best Practices"-Problem betrachtet, nicht als Sicherheitsbug, daher zahlen wir keine Prämie dafür. Ein weiteres Beispiel für ein Best-Practice-Problem wäre das Rate Limiting. Wir zahlen für SQL-Injektions-Schwachstellen, IDOR-Schwachstellen, XSS-Schwachstellen, CSRF-Schwachstellen auf kritischen Formularen usw.
Bitte melde uns alle von dir gefundenen Bugs an marketplace-security@roll20.net, mit vollständigen Schritten zur Reproduktion sowie einem Video, das die Schwachstelle in Aktion zeigt. Bitte kopiere und füge alle Payloads ein, die du über Burp Suite (oder ähnliche Tools) einreichst, damit wir sie reproduzieren können. Du musst einen vollständigen Exploit in Aktion demonstrieren; du kannst uns nicht nur über einen Exploit informieren, du musst einen vollständigen Proof of Concept zeigen, um für Prämien berechtigt zu sein.
Wir führen alle Auszahlungen über PayPal durch. Wir können nicht per Überweisung oder auf andere Weise als PayPal bezahlen.