버그나 보안 문제를 찾고 계신가요?

온라인 기업으로서 저희는 시스템 내 버그를 지속적으로 파악하고 수정하며, 보고된 보안 취약점에 대해서는 현상금을 지급하고 있습니다. 지급되는 금액은 취약점의 심각도에 따라 달라집니다.

• 이미 찾으셨다면, 세부 사항을 이메일로 보내주시기 바랍니다. 마켓-보안@Roll20.net로 이메일을 보내주시되, 아래의 참고사항과 지침을 반드시 읽어보시기 바랍니다.
• 취약점을 탐색할 계획이라면, 실제 운영 중인 사이트를 탐색하지 마십시오.

모든 침투 테스트는 다음 주소에서 수행하십시오. http://oldpentest.drivethrurpg.com 및 https://newpentest.drivethrurpg.com에서 수행해 주십시오. 테스트해야 할 도메인과 서브도메인은 이것들뿐이며, 우리는 "newpentest" 사이트의 취약점에 더 관심이 있습니다. 이는 기존 코드베이스를 대체할 새로운 코드베이스이기 때문입니다. 오래된 코드베이스에 대해서는 중대한 결함이 아닌 한 최소한의 보상만 지급합니다.

참고로, 당사는 실제 사이트 버그 및 취약점에 대해서는 보상금을 지급하나, "모범 사례" 관련 문제에 대해서는 보상하지 않습니다. 예를 들어, 비밀번호 재설정 후 세션을 무효화하지 않는 것은 보안 결함이 아닌 "모범 사례" 문제로 간주되므로, 이에 대해서는 보상을 지급하지 않습니다. 모범 사례 문제의 또 다른 예로는 속도 제한이 있습니다. SQL 인젝션 취약점, IDOR 취약점, XSS 취약점, 중요 양식에서의 CSRF 취약점 등에 대해서는 보상합니다.

발견한 버그는 다음 주소로 신고해 주십시오. 마켓-보안@Roll20.net으로 신고해 주시기 바랍니다. 재현을 위한 완전한 단계와 취약점이 작동하는 모습을 보여주는 동영상을 함께 첨부해 주십시오. Burp Suite(또는 유사 도구)를 통해 제출하신 페이로드는 복사하여 붙여넣어 주시기 바랍니다. 이를 통해 저희가 재현할 수 있도록 하기 위함입니다. 실제 작동하는 완전한 익스플로잇을 입증해야 합니다. 단순히 익스플로잇에 대해 설명하는 것만으로는 부족하며, 현상금 수령 자격을 얻으려면 완전한 개념 증명(PoC)을 제시해야 합니다.

모든 지급은 PayPal을 통해 처리됩니다. 전신환이나 페이팔 이외의 다른 방법으로 결제할 수 없습니다.