À la recherche de bugs ou de problèmes de sécurité ?
En tant qu'entreprise en ligne, nous cherchons toujours à identifier et à corriger les bugs de notre système, et nous payons des primes pour les vulnérabilités de sécurité qui nous sont signalées. Le montant payé varie en fonction de la gravité de la vulnérabilité.
- Si vous en avez déjà trouvé un, veuillez envoyer les détails par e-mail à marketplace-security@roll20.net, mais assurez-vous de lire les notes et instructions ci-dessous.
- Si vous envisagez de sonder des vulnérabilités, ne sondez pas notre site en direct.
Veuillez effectuer tous les tests de pénétration sur http://oldpentest.drivethrurpg.com et aussi https://newpentest.drivethrurpg.com. Ce sont les seuls domaines et sous-domaines que vous devriez tester, et nous sommes plus intéressés par les vulnérabilités sur le site "newpentest", car c'est notre nouveau code qui remplacera l'ancien. Nous ne donnons que des paiements minimes pour l'ancien code, sauf s'il s'agit d'une faille critique.
Notez que nous payons des primes pour les bogues et vulnérabilités du site, mais pas pour les problèmes de "bonnes pratiques". Comme exemple : ne pas invalider les sessions après une réinitialisation du mot de passe est considéré comme un problème de "bonnes pratiques", et non comme un bogue de sécurité, donc nous ne payons pas de prime pour cela. Un autre exemple d'un problème de bonnes pratiques serait la limitation du taux. Nous payons pour les vulnérabilités d'injection SQL, les vulnérabilités IDOR, les vulnérabilités XSS, les vulnérabilités CSRF sur les formulaires critiques, etc.
Veuillez signaler tout bogue que vous trouvez à marketplace-security@roll20.net, avec les étapes complètes pour reproduire ainsi qu'une vidéo montrant la vulnérabilité en action. Veuillez copier et coller les charges utiles que vous soumettez via Burp suite (ou des outils similaires), afin que nous puissions les reproduire. Vous devez démontrer une exploitation complète en action ; vous ne pouvez pas simplement nous parler d'une exploitation, vous devez montrer une preuve de concept complète pour être éligible aux primes.
Nous effectuons tous les paiements via PayPal. Nous ne pouvons pas payer par virement bancaire, ou tout autre moyen que PayPal.