バグまたはセキュリティの問題を探していますか?
オンライン企業として、システムのバグを特定し修正することを常に検討しており、報告されたセキュリティの脆弱性に対して報奨金を支払います。 支払う金額は脆弱性の深刻度に基づいて変動します。
- すでに見つけた場合は、詳細を marketplace-security@roll20.netをメールで送ってください。ただし、以下の注意事項と指示をお読みください。
- 脆弱性を調査する場合は、運用中のサイトをテストしないでください。良い事だけど変な目で見られていい気分にはなれないわ。
全ての侵入テストは http:\/\/oldpentest.drivethrurpg.com<\/a> および https:\/\/newpentest.drivethrurpg.com<\/a> で行ってください。これらがテストすべき唯一のドメインおよびサブドメインです。そして、 それらはテストすべき唯一のドメインとサブドメインであり、私たちは「newpentest」サイトの脆弱性により興味を持っています。これは、古いコードベースに取って代わる新しいコードベースです。 重大な欠陥でない限り、古いコードベースに対しては最小限の報酬しか支払われません。
実際のサイトバグや脆弱性に対して報酬を提供しますが、「ベストプラクティス」の問題には支払いません。 たとえば、パスワードリセット後にセッションを無効にしないことは「ベストプラクティス」の問題と見なされ、安全性のバグとは見なされないため、報酬は支払われません。 ベストプラクティスの別の例は、レート制限です。 SQLインジェクションの脆弱性、IDORの脆弱性、XSSの脆弱性、重要なフォームのCSRFの脆弱性などに対して支払います。
見つけたバグはmarketplace-security@roll20.netすべて報告してください。完全な再現手順と、脆弱性が発生している様子を示すビデオを添えてください。 Burp suite(または同様のツール)を使用して送信するペイロードをコピーして貼り付けてください。そうすれば再現が可能です。 完全な実証を示す必要があります。単に脆弱性について教えるだけではなく、バウンティに必要な完全な概念実証を示さなければなりません。
すべての支払いはPayPal経由で行います。 PayPal以外の方法(電信送金など)ではお支払いできません。