Illustration：Daniel Zender

BUGX漏洞披露计划：逐步公开BUGX平台漏洞。

本文漏洞厂商：国币网、Coinsix、币君60.COM交易所

一、前言

BUGX平台自上线以来收到上百个厂商的漏洞，大部分厂商对于安全问题都积极回应，但也有部分厂商对于自身平台的安全问题不够重视，平台本身漏洞不修复，对于用户信息以及用户财产安全不负责任。

此次计划我们BUGX通过漏洞披露为区块链世界的安全发声，希望未修复漏洞的厂商抓紧修复漏洞，保护好用户、厂商的信息和财产安全。

希望各大区块链相关厂商留意自己邮箱BUGX安全漏洞通知邮件，及时到BUGX平台认领漏洞。

bugx-2018-0228[未修复]：国币网后台管理员弱口令

国币网，面向全球提供专业的数字资产交易服务，是全球著名的数字资产交易平台之一。此高危漏洞是白帽子通过找到后台URL地址，通过猜解后台管理员的账户密码，登陆网站后台并执行管理员权限。在后台界面中管理员可以看到用户的敏感信息，对用户信息或设置进行任意操作。

除此之外我们平台还收到此交易所其他类型漏洞。

bugx-2018-0258[未修复]：Coinsix文件包含漏洞

Coinsix致力于推广区块链发展和加密数字货币的应用和流通。在网站某处URL存在文件包含漏洞。此漏洞可根据服务器上文件的内容打印或执行恶意文件，严重可造成服务器被GETSHELL，对网站危害很大。

bugx-2018-06d4b0a68 [已修复]：币君60.COM交易所信息泄露

币君60.COM交易所通过与中国大陆、 香港及东南亚各国数字资产机构的紧密联系与合作，为优秀数字资产提供展览、交易、流通的渠道；为数字资产交易商提供信息沟通、文化交流、项目推介的服务平台；为数字资产交易商提供投资咨询、数字资产推介、智库、数字资产交易等多种专业化服务。根据白帽子的漏洞截图可以看到站点的一些敏感信息，攻击者可以根据网站搜寻到的敏感信息，寻找脆弱点对网站精准对网站进行攻击。此漏洞目前已被修复。

二、关于BUGX