버그나 보안 문제를 찾고 계신가요?
온라인 기업으로서 당사는 항상 시스템의 버그를 식별하고 수정하기 위해 노력하고 있으며, 신고된 보안 취약점에 대해 포상금을 지급하고 있습니다. 지급 금액은 취약점의 심각도에 따라 달라집니다.
- 이미 찾은 경우 자세한 내용을 이메일( marketplace-security@roll20.net)로 보내주시되, 아래의 주의 사항과 지침을 반드시 읽어보세요.
- 취약점을 조사하려는 경우, 라이브 사이트를 조사하지 마십시오.
모든 침투 테스트는 http://oldpentest.drivethrurpg.com 및 https://newpentest.drivethrurpg.com 에서 수행하세요. 이러한 도메인과 하위 도메인은 테스트해야 하는 유일한 도메인이며, 이전 코드베이스를 대체할 최신 코드베이스인 "newpentest" 사이트의 취약점에 더 관심이 있습니다. 심각한 결함이 아닌 한, 이전 코드베이스에 대해서는 최소한의 보상만 제공합니다.
실제 사이트 버그 및 취약점에 대해서는 포상금을 지급하지만 '모범 사례' 문제는 지급하지 않는다는 점에 유의하세요. 한 가지 예로, 비밀번호 재설정 후 세션을 무효화하지 않는 것은 보안 버그가 아닌 '모범 사례' 문제로 간주되므로 이에 대한 포상금을 지급하지 않습니다. 모범 사례 문제의 또 다른 예로는 속도 제한을 들 수 있습니다. 중요한 양식의 SQL 인젝션 취약점, IDOR 취약점, XSS 취약점, CSRF 취약점 등에 대해 비용을 지불하고 있습니다.
발견한 버그는 재현하는 전체 단계와 취약점이 작동하는 모습을 보여주는 동영상과 함께 marketplace-security@roll20.net 으로 신고해 주세요. Burp 스위트(또는 유사한 도구)를 통해 제출한 페이로드를 복사하여 붙여넣어 재생산할 수 있도록 해주세요. 단순히 익스플로잇에 대해 알려주는 것이 아니라 완전한 개념 증명을 제시해야만 포상금을 받을 수 있습니다.
모든 지급은 PayPal을 통해 이루어집니다. 은행 송금이나 PayPal 이외의 결제 수단으로는 결제할 수 없습니다.