给大伙分享个微信小程序的新功能（超级后门，提权神器）🤣

我的理解是，他有个页面可以生成用于销售的“兑换码生成页面”
然后这个页面他是用什么方式隐藏起来的，只有自己账号能看到入口能进去“兑换码生成页面”

但是呢，微信出了一个新功能，根据截图识别进入小程序
导致“兑换码生成页面”多了一种进入方式，进而导致的损失

问题在于作者偷懒没给“兑换码生成页面“做鉴权


另外，自己做一个“兑换码生成页面”很正常。我自己的网站也有快速给用户充值的页面，但是肯定必须是我的账号才能进啊，而不是得到 url 的都能进，然后自己搞个很复杂的 url 路由企图避免其他人猜到地址（这样很蠢啊）

但凡有点后端开发常识，
也知道这是不可能的。。。
是小程序开发者的坑不是微信平台的坑。

因为 page path 里面带了相关信息，小程序前后台没有做验证呗。

鉴定了是标题党，你给自己的小程序只做了登陆验证，然后登陆后的功能都不需要鉴权这不摆明了是你自己的问题？

随便测个小程序 中国移动的 不会带入用户信息，op 自己没做好罢了。比如用户信息的 token 放在 url 而不是请求头