Sicurezza o Bug Bounty

Cerchi Bug o Problemi di Sicurezza?

Come azienda online siamo sempre alla ricerca di identificare e correggere bug nel nostro sistema, e paghiamo ricompense per le vulnerabilità di sicurezza segnalate a noi. L'importo pagato varia in base alla gravità della vulnerabilità.

  • Se ne hai già trovato uno, invia i dettagli per email a marketplace-security@roll20.net, ma assicurati di leggere le note e le istruzioni qui sotto.
  • Se hai intenzione di sondare vulnerabilità, non sondare il nostro sito in diretta.

Si prega di effettuare tutti i test di penetrazione su http://oldpentest.drivethrurpg.com e anche https://newpentest.drivethrurpg.com. Quelli sono gli unici domini e sottodomini che dovresti testare, e siamo più interessati alle vulnerabilità sul sito "newpentest", perché è il nostro codice più recente che sostituirà quello vecchio. Diamo solo pagamenti minimi per il vecchio codice, a meno che non sia una grave falla.

Nota che paghiamo taglie per bug e vulnerabilità effettivi sul sito, ma non problemi di "best practices". Come solo un esempio: non invalidare le sessioni dopo un reset della password è considerato un problema di "best practice", non un bug di sicurezza, quindi non paghiamo una taglia per questo. Un altro esempio di un problema di best practice sarebbe il limitare il tasso. Paghiamo per vulnerabilità di SQL injection, vulnerabilità di IDOR, vulnerabilità di XSS, vulnerabilità di CSRF su moduli critici, ecc.

Per favore segnala eventuali bug che trovi a marketplace-security@roll20.net, con passaggi completi per riprodurre e anche un video che mostri la vulnerabilità in azione. Copia e incolla qualsiasi payload che invii tramite Burp suite (o strumenti simili), in modo che siamo in grado di riprodurre. Devi dimostrare un exploit completo in azione; non puoi solo dirci di un exploit, devi mostrare un'intera prova di concetto per essere idoneo alle taglie.

Effettuiamo tutti i pagamenti tramite PayPal. Non siamo in grado di pagare tramite bonifico bancario, o altro che non sia PayPal.

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 5 su 5