三个问题:
1、观点后台泄露
http://gd.tomoon.cn/admin.php
2、用户手机号码可以直接通过嗅探获取到。
那个,刷一下观点圈。
然后,看看digtal frame的东东,username就可以看到了。
3、最劲爆的,digtal frame这个大接口,对于用户的身份没有做任何的验证,直接修改一下自身的用户名就可以随便玩了(用户名上面已搞到)。
多说无益,看看效果。
修改方案:
1、隐藏好后台。
2、以特殊的 ID 来代替手机号。
3、数据交换使用HTTPS双向验证,防止被嗅探。
4、各种接口对用户身份加强验证。
话说这是小学生写的后端吗。
发自 WordPress for Android