1. DriveThruRPG
  2. Informações do Site
  3. Outras Páginas Importantes

Segurança ou Recompensas por Bugs

Está à procura de erros ou problemas de segurança?

Como empresa em linha, estamos sempre a tentar identificar e corrigir erros no nosso sistema e pagamos prémios pelas vulnerabilidades de segurança que nos são comunicadas. O montante pago varia em função da gravidade da vulnerabilidade.

  • Se já encontrou um, envie os detalhes por correio eletrónico para marketplace-security@roll20.net, mas não se esqueça de ler as notas e instruções abaixo.
  • Se está a planear sondar vulnerabilidades, não sonde o nosso sítio ao vivo.

Efectue todos os testes de penetração em http://oldpentest.drivethrurpg.com e também em https://newpentest.drivethrurpg.com. Esses são os únicos domínios e subdomínios que deve testar, e estamos mais interessados em vulnerabilidades no site "newpentest", porque essa é a nossa base de código mais recente que irá substituir a antiga. Apenas efectuamos pagamentos mínimos para a base de código mais antiga, a menos que se trate de uma falha crítica.

Note que pagamos prémios por bugs e vulnerabilidades reais do site, mas não por questões de "melhores práticas". Apenas um exemplo: não invalidar sessões após uma reposição de palavra-passe é considerado um problema de "boas práticas" e não um erro de segurança, pelo que não pagamos uma recompensa por isso. Outro exemplo de uma questão de boas práticas seria a limitação de débito. Pagamos por vulnerabilidades de injeção de SQL, vulnerabilidades IDOR, vulnerabilidades XSS, vulnerabilidades CSRF em formulários críticos, etc.

Comunique quaisquer erros que encontre a marketplace-security@roll20.net, com os passos completos para os reproduzir, bem como um vídeo que mostre a vulnerabilidade em ação. Copie e cole quaisquer cargas úteis que envie através da suite Burp (ou ferramentas semelhantes), para que possamos reproduzir. Tem de demonstrar um exploit completo em ação; não pode simplesmente falar-nos de um exploit, tem de mostrar uma prova de conceito completa para ser elegível para recompensas.

Efectuamos todos os pagamentos via PayPal. Não é possível efetuar pagamentos por transferência bancária ou por qualquer outro meio que não o PayPal.

Este artigo foi útil?
Utilizadores que acharam útil: 24 de 34