接口随意调用

又是越权漏洞的一种，小岛的后端api接口没有进行权限验证，可以随意调用接口，比如我买了别人的贝，调用接口模拟交易对方进行收款确认，订单状态就变成了状态，然后坐等官方给转贝就行了。
利用这个漏洞拿走了素颜的20贝，不需要对方参与就完成了订单，事后和素颜以及官方都进行了说明，并且退还了贝，感谢素颜得坦然接受。

官方进行了修复并对接口数据进行了加密处理，增加了难度，采用AES加密方式，不好破解啊。 贝壳小岛系列漏洞之六
不好破解不代表没有办法破解，看我下回分解。