贝壳小岛使用了微信小程序的开发模式, 这个大葱哥之前没玩过, 不是很熟悉, 7 月 3 日夜间偶尔发现了小岛的小程序有调试开关, 可以开 vconsole, 而这个调试模式给大葱哥提供了很多关键有用的信息, 顺藤摸瓜意外的发现了贝壳小岛的后台系统, 更神奇的是这个后台系统的登录只是一个摆设, 大葱哥顺利的进去了超管权限, 以至于当时大葱哥觉得进去的是一个测试后台, 不能是真正得后台, 结果事实证明, 现实就是这么的残酷, 我进去的是千真万确的后台.
那么有了后台能干些什么呢, 第一次接触小岛不清楚小岛的流程, 只看到新用户需要给小岛的简书账户转 1 个贝完成认证后才能交易, 而大葱哥在后台看到了认证审核功能, 于是乎自己给自己完成了认证, 赚了小岛 1 个贝的便宜.
接着发现还有充值的审核功能, 大概明白了小岛的流程, 于是发起一笔充值 (没有转贝), 自己给自己完成了审核, 呵呵, 当然不作恶的, 如果作恶就赶紧卖掉套现闪人了.
到这里觉得这个漏洞的危害已经很高了, 7 月 4 日零点多的时候第一时间联系官方人员告知了这个漏洞, 官方人员把我账号中的金额修复为正常值.
很多开发人员都不了解安全这一块, 所以导致了很多系统都有大量的安全隐患, 而这些安全隐患信你大部分都是很低级的问题, 但其危害却很大很严重的, 你以为自己衣着光鲜, 其实是在裸奔, 只不过是太小没有价值看不在眼里, 或者别人已经盯上只是暗中把你养肥外后再伺机而动.
来源: http://www.jianshu.com/p/58ad2eac2f76