Sicherheit oder Bug-Bounties

Suchst du nach Fehlern oder Sicherheitsproblemen?

Als Online-Unternehmen sind wir immer bestrebt, Fehler in unserem System zu finden und zu beheben, und wir zahlen Belohnungen für Sicherheitslücken, die uns gemeldet werden. Der gezahlte Betrag variiert je nach Schwere der Gefährdung.

  • Wenn du bereits einen gefunden hast, sende die Details bitte per E-Mail an marketplace-security@roll20.net, aber lies unbedingt die Hinweise und Anweisungen unten.
  • Wenn du vorhast, nach Schwachstellen zu suchen, teste nicht unsere Live-Site.

Bitte führe alle Penetrationstests unter http://oldpentest.drivethrurpg.com und auch https://newpentest.drivethrurpg.com durch . Das sind die einzigen Domains und Subdomains, die du testen solltest. Wir sind mehr an Schwachstellen auf der "newpentest"-Seite interessiert, denn das ist unsere neuere Codebasis, die die alte ersetzen wird. Wir geben nur minimale Auszahlungen für die ältere Codebasis, es sei denn, es handelt sich um einen kritischen Fehler.

Beachte, dass wir Kopfgelder für tatsächliche Bugs und Schwachstellen auf der Website zahlen, aber nicht für "Best Practices". Nur ein Beispiel: Sitzungen nach dem Zurücksetzen des Passworts nicht zu löschen, gilt als "Best Practice" und nicht als Sicherheitslücke, weshalb wir dafür kein Kopfgeld zahlen. Ein weiteres Beispiel für eine Best Practice wäre die Ratenbegrenzung. Wir zahlen für SQL-Injection-Schwachstellen, IDOR-Schwachstellen, XSS-Schwachstellen, CSRF-Schwachstellen in kritischen Formularen usw.

Bitte melde alle Bugs, die du findest, an marketplace-security@roll20.net und füge die vollständigen Schritte zur Reproduktion sowie ein Video bei, das die Schwachstelle in Aktion zeigt. Bitte kopiere alle Payloads, die du mit der Burp Suite (oder ähnlichen Werkzeugen) übermittelst, damit wir sie reproduzieren können. Du musst einen vollständigen Exploit in Aktion zeigen. Du kannst uns nicht einfach nur von einem Exploit erzählen, sondern musst einen vollständigen Konzeptnachweis erbringen, um für Bounties in Frage zu kommen.

Wir führen alle Auszahlungen über PayPal durch. Wir können nicht per Überweisung oder mit etwas anderem als PayPal bezahlen.

War dieser Beitrag hilfreich?
21 von 30 fanden dies hilfreich