¿Buscas Bugs o Problemas de Seguridad?
Como empresa en línea, siempre estamos buscando identificar y corregir errores en nuestro sistema, y pagamos recompensas por vulnerabilidades de seguridad que nos sean reportadas. La cantidad pagada varía según la gravedad de la vulnerabilidad.
- Si ya has encontrado alguna, por favor envía los detalles por correo electrónico a marketplace-security@roll20.net, pero asegúrate de leer las notas e instrucciones a continuación.
- Si planeas buscar vulnerabilidades, no explores nuestro sitio en vivo.
Por favor realiza todas las pruebas de penetración en http://oldpentest.drivethrurpg.com y también en https://newpentest.drivethrurpg.com. Estos son los únicos dominios y subdominios que debes probar, y estamos más interesados en vulnerabilidades en el sitio "newpentest", porque ese es nuestro código más reciente que reemplazará al antiguo. Solo ofrecemos pagos mínimos por el código más antiguo, a menos que sea una falla crítica.
Ten en cuenta que pagamos recompensas por errores reales en el sitio y vulnerabilidades, pero no por problemas de "mejores prácticas". Como solo un ejemplo: no invalidar sesiones después de restablecer una contraseña se considera un problema de "mejores prácticas", no un error de seguridad, por lo tanto no pagamos una recompensa por ello. Otro ejemplo de un problema de mejores prácticas sería la limitación de velocidad. Pagamos por vulnerabilidades de inyección SQL, vulnerabilidades de IDOR, vulnerabilidades XSS, vulnerabilidades CSRF en formularios críticos, etc.
Por favor informa de cualquier error que encuentres a marketplace-security@roll20.net, con los pasos completos para reproducir y también un video que muestre la vulnerabilidad en acción. Por favor copia y pega cualquier carga útil que envíes a través de Burp suite (u herramientas similares), para que podamos reproducirla. Debes demostrar una explotación completa en acción; no puedes simplemente contarnos sobre una explotación, debes mostrar un concepto completo para ser elegible para recompensas.
Realizamos todos los pagos a través de PayPal. No podemos pagar a través de transferencia bancaria, ni de ninguna otra forma que no sea PayPal.