Segurança ou Recompensas por Bugs

Procurando por Bugs ou Problemas de Segurança?

Como empresa online, estamos sempre à procura de identificar e corrigir bugs no nosso sistema, e pagamos recompensas por vulnerabilidades de segurança que nos são reportadas. O valor pago varia com base na gravidade da vulnerabilidade.

  • Se já encontraste um, por favor envia os detalhes por email para marketplace-security@roll20.net, mas certifica-te de ler as notas e instruções abaixo.
  • Se planeias testar vulnerabilidades, não testes o nosso site em direto.

Por favor, realiza todos os testes de penetração em http://oldpentest.drivethrurpg.com e também em https://newpentest.drivethrurpg.com. Estes são os únicos domínios e subdomínios que deve testar, e estamos mais interessados nas vulnerabilidades no site "newpentest", porque é a nossa base de código mais recente que irá substituir a antiga. Apenas oferecemos pagamentos mínimos para a base de código mais antiga, a menos que seja uma falha crítica.

Note que pagamos recompensas por bugs reais no site e vulnerabilidades, mas não por questões de "boas práticas". Como apenas um exemplo: não invalidar sessões após uma reposição de senha é considerado uma questão de "boas práticas", não um bug de segurança, portanto não pagamos uma recompensa por isso. Outro exemplo de uma questão de boas práticas seria limitação de taxa. Pagamos por vulnerabilidades de injeção de SQL, vulnerabilidades de IDOR, vulnerabilidades de XSS, vulnerabilidades de CSRF em formulários críticos, etc.

Por favor, reporte quaisquer bugs que encontrar para marketplace-security@roll20.net, com passos completos para reproduzir e também um vídeo mostrando a vulnerabilidade em ação. Por favor, copie e cole quaisquer payloads que enviar via Burp suite (ou ferramentas similares), para que possamos reproduzir. Precisa demonstrar um exploit completo em ação; não pode apenas nos informar sobre um exploit, deve mostrar um conceito completo para ser elegível para recompensas.

Realizamos todos os pagamentos via PayPal. Não podemos pagar via transferência bancária, ou qualquer coisa que não seja PayPal.

Este artigo foi útil?
Utilizadores que acharam útil: 5 de 5