バグやセキュリティ上の問題をお探しですか？

オンライン企業として、当社は常にシステム内のバグを特定し修正するよう努めており、報告されたセキュリティ脆弱性に対しては報奨金を支払っています。 支払額は脆弱性の深刻度に基づいて変動します。

• もし既に見つけている場合は、詳細を以下のメールアドレスまでお送りください。 marketplace-security@roll20.netまでメールでお知らせください。ただし、以下の注意事項と手順を必ずお読みください。
• 脆弱性の調査を計画している場合、 当社の稼働サイトは調査対象外です。

すべての侵入テストは以下で実施してください http://oldpentest.drivethrurpg.com および https://newpentest.drivethrurpg.comで実施してください。 テストすべきドメインとサブドメインはこれらのみです。また、我々は「newpentest」サイトの脆弱性により関心があります。これは古いコードベースに取って代わる新しいコードベースだからです。 古いコードベースに対しては、重大な欠陥でない限り、最小限の支払いのみ行います。

実際のサイトのバグや脆弱性に対しては報奨金を支払いますが、「ベストプラクティス」に関する問題に対しては支払いません。 一例を挙げると：パスワードリセット後のセッション無効化は「ベストプラクティス」の問題であり、セキュリティ上のバグではないため、これに対しては報奨金を支払いません。 ベストプラクティスに関する別の例としては、レート制限が挙げられる。 SQLインジェクション脆弱性、IDOR脆弱性、XSS脆弱性、重要フォームにおけるCSRF脆弱性などに対しては、実際に報酬を支払います。

発見したバグはすべて marketplace-security@roll20.netまで、再現手順の詳細と、脆弱性が実際に動作している様子を撮影した動画と共に報告してください。 Burp Suite（または類似ツール）経由で送信するペイロードは、再現可能な状態にするため、必ずコピー＆ペーストしてください。 完全なエクスプロイトの実行を実証する必要があります。単なるエクスプロイトの説明では不十分であり、報奨金の対象となるには完全な概念実証（PoC）を示す必要があります。

すべての支払いはPayPalを通じて行います。 銀行振込やPayPal以外の方法ではお支払いできません。