Vous recherchez des bogues ou des problèmes de sécurité ?
En tant qu'entreprise en ligne, nous cherchons toujours à identifier et à corriger les bogues dans notre système, et nous payons des primes pour les failles de sécurité qui nous sont signalées. Le montant versé varie en fonction de la gravité de la vulnérabilité.
- Si vous en avez déjà trouvé un, veuillez envoyer les détails par courriel à marketplace-security@roll20.net, mais veillez à lire les notes et instructions ci-dessous.
- Si vous envisagez de rechercher des vulnérabilités, ne sondez pas notre site en direct.
Veuillez effectuer tous les tests de pénétration à l'adresse http://oldpentest.drivethrurpg.com et https://newpentest.drivethrurpg.com. Ce sont les seuls domaines et sous-domaines que vous devez tester, et nous sommes plus intéressés par les vulnérabilités sur le site "newpentest", car il s'agit de notre nouvelle base de code qui remplacera l'ancienne. Nous n'accordons que des paiements minimes pour l'ancienne base de code, à moins qu'il ne s'agisse d'un défaut critique.
Notez que nous payons des primes pour des bogues et des vulnérabilités de sites réels, mais pas pour des questions de "meilleures pratiques". Un exemple parmi d'autres : le fait de ne pas invalider les sessions après une réinitialisation du mot de passe est considéré comme un problème de "meilleure pratique" et non comme un bogue de sécurité, c'est pourquoi nous ne payons pas de prime pour cela. La limitation du débit est un autre exemple de meilleure pratique. Nous payons pour les vulnérabilités par injection SQL, les vulnérabilités IDOR, les vulnérabilités XSS, les vulnérabilités CSRF sur les formulaires critiques, etc.
Veuillez signaler les bogues que vous trouvez à marketplace-security@roll20.net, en indiquant les étapes complètes pour les reproduire et en fournissant une vidéo montrant la vulnérabilité en action. Veuillez copier et coller toutes les charges utiles que vous soumettez via la suite Burp (ou des outils similaires), afin que nous puissions les reproduire. Vous devez démontrer un exploit complet en action ; vous ne pouvez pas vous contenter de nous parler d'un exploit, vous devez démontrer une preuve de concept complète pour être éligible aux primes.
Nous effectuons tous les paiements via PayPal. Nous ne sommes pas en mesure de payer par virement bancaire ou par un moyen autre que PayPal.