微博应用未进行权限验证漏洞 – 网站安全 – 自学

微博应用”App营销”未进行权限验证。导致任何人可查看后台数据和对其进行操作

微博应用”App营销”未进行权限验证。任何人可以穿越到其他人的账户查看其他人账户资金余额，并可对其进行操作，如直接利用余额进行app推广

图为微博用户好豆网中的账户资金余额，任何人都可以查看。

在点击其中的”推广”按钮之后，甚至可以设定推广时间，和上传apk包。

修复方案：

验证用户权限。