¿Busca errores o problemas de seguridad?
Como empresa en línea, siempre buscamos identificar y corregir errores en nuestro sistema, y pagamos recompensas por las vulnerabilidades de seguridad que se nos comunican. La cantidad abonada varía en función de la gravedad de la vulnerabilidad.
- Si ya ha encontrado uno, envíe los detalles por correo electrónico a marketplace-security@roll20.net, pero asegúrese de leer las notas e instrucciones que figuran a continuación.
- Si planea sondear en busca de vulnerabilidades no sondee nuestro sitio en vivo.
Por favor, realice todas las pruebas de penetración en http://oldpentest.drivethrurpg.com y también en https://newpentest.drivethrurpg.com. Esos son los únicos dominios y subdominios que debe probar, y estamos más interesados en las vulnerabilidades en el sitio "newpentest", porque esa es nuestra base de código más nueva que reemplazará a la antigua. Sólo damos pagos mínimos por la base de código más antigua, a menos que se trate de un fallo crítico.
Tenga en cuenta que pagamos recompensas por fallos y vulnerabilidades reales del sitio, pero no por cuestiones de "buenas prácticas". Sólo un ejemplo: no invalidar las sesiones tras un restablecimiento de contraseña se considera un problema de "buenas prácticas", no un fallo de seguridad, por lo que no pagamos una recompensa por ello. Otro ejemplo de una cuestión de buenas prácticas sería la limitación de la tasa. Pagamos por vulnerabilidades de inyección SQL, vulnerabilidades IDOR, vulnerabilidades XSS, vulnerabilidades CSRF en formularios críticos, etc.
Por favor, informe de cualquier fallo que encuentre a marketplace-security@roll20.net, con los pasos completos para reproducirlo y así como un vídeo que muestre la vulnerabilidad en acción. Por favor, copie y pegue cualquier carga útil que envíe a través de Burp suite (o herramientas similares), para que seamos capaces de reproducirla. Debe demostrar un exploit completo en acción; no puede limitarse a hablarnos de un exploit, debe mostrar una prueba de concepto completa para poder optar a las recompensas.
Realizamos todos los pagos a través de PayPal. No podemos pagar a través de transferencia bancaria, o cualquier otra cosa que no sea PayPal.