Sicurezza o Bug Bounties

Cerca bug o problemi di sicurezza?

Come azienda online, cerchiamo sempre di identificare e correggere i bug nel nostro sistema, e paghiamo delle taglie per le vulnerabilità di sicurezza che ci vengono segnalate. L'importo pagato varia in base alla gravità della vulnerabilità.

  • Se ne ha già trovato uno, invii i dettagli via e-mail a marketplace-security@roll20.net, ma si assicuri di leggere le note e le istruzioni riportate di seguito.
  • Se intende sondare le vulnerabilità, non sondare il nostro sito live.

Esegua tutti i test di penetrazione all'indirizzo http://oldpentest.drivethrurpg.com e anche https://newpentest.drivethrurpg.com. Questi sono gli unici domini e sottodomini che dovrebbe testare, e siamo più interessati alle vulnerabilità sul sito "newpentest", perché è la nostra base di codice più recente che sostituirà quella vecchia. Forniamo solo pagamenti minimi per la base di codice più vecchia, a meno che non si tratti di un difetto critico.

Si noti che paghiamo le taglie per i bug e le vulnerabilità effettive del sito, ma non per i problemi di "best practice". Solo per fare un esempio: la mancata invalidazione delle sessioni dopo la reimpostazione della password è considerata un problema di "best practice", non un bug di sicurezza, quindi non paghiamo una taglia per questo. Un altro esempio di best practice è la limitazione della velocità. Paghiamo per le vulnerabilità SQL injection, le vulnerabilità IDOR, le vulnerabilità XSS, le vulnerabilità CSRF sui moduli critici, ecc.

La preghiamo di segnalare qualsiasi bug riscontrato a marketplace-security@roll20.net, con i passaggi completi per la riproduzione e un video che mostri la vulnerabilità in azione. La preghiamo di copiare e incollare qualsiasi payload inviato tramite la suite Burp (o strumenti simili), in modo che possiamo riprodurlo. Deve dimostrare un exploit completo in azione; non può limitarsi a parlarci di un exploit, deve mostrare una prova di concetto completa per essere idoneo alle taglie.

Effettuiamo tutti i pagamenti tramite PayPal. Non possiamo pagare tramite bonifico bancario o altro che non sia PayPal.

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 21 su 31