Illustration:Daniel Zender
BUGX漏洞披露计划:逐步公开BUGX平台漏洞。
本文漏洞厂商:国币网、Coinsix、币君60.COM交易所
一、前言
BUGX平台自上线以来收到上百个厂商的漏洞,大部分厂商对于安全问题都积极回应,但也有部分厂商对于自身平台的安全问题不够重视,平台本身漏洞不修复,对于用户信息以及用户财产安全不负责任。
此次计划我们BUGX通过漏洞披露为区块链世界的安全发声,希望未修复漏洞的厂商抓紧修复漏洞,保护好用户、厂商的信息和财产安全。
希望各大区块链相关厂商留意自己邮箱BUGX安全漏洞通知邮件,及时到BUGX平台认领漏洞。
bugx-2018-0228[未修复]:国币网后台管理员弱口令
国币网,面向全球提供专业的数字资产交易服务,是全球著名的数字资产交易平台之一。此高危漏洞是白帽子通过找到后台URL地址,通过猜解后台管理员的账户密码,登陆网站后台并执行管理员权限。在后台界面中管理员可以看到用户的敏感信息,对用户信息或设置进行任意操作。
除此之外我们平台还收到此交易所其他类型漏洞。
bugx-2018-0258[未修复]:Coinsix文件包含漏洞
Coinsix致力于推广区块链发展和加密数字货币的应用和流通。在网站某处URL存在文件包含漏洞。此漏洞可根据服务器上文件的内容打印或执行恶意文件,严重可造成服务器被GETSHELL,对网站危害很大。
bugx-2018-06d4b0a68 [已修复]:币君60.COM交易所信息泄露
币君60.COM交易所通过与中国大陆、 香港及东南亚各国数字资产机构的紧密联系与合作,为优秀数字资产提供展览、交易、流通的渠道;为数字资产交易商提供信息沟通、文化交流、项目推介的服务平台;为数字资产交易商提供投资咨询、数字资产推介、智库、数字资产交易等多种专业化服务。根据白帽子的漏洞截图可以看到站点的一些敏感信息,攻击者可以根据网站搜寻到的敏感信息,寻找脆弱点对网站精准对网站进行攻击。此漏洞目前已被修复。
二、关于BUGX
来源:freebuf.com 2019-04-25 06:54:28 by: BUGX
请登录后发表评论
注册