三个问题：
1、观点后台泄露
http://gd.tomoon.cn/admin.php

2、用户手机号码可以直接通过嗅探获取到。
那个，刷一下观点圈。
然后，看看digtal frame的东东，username就可以看到了。

3、最劲爆的，digtal frame这个大接口，对于用户的身份没有做任何的验证，直接修改一下自身的用户名就可以随便玩了(用户名上面已搞到)。

多说无益，看看效果。

修改方案：
1、隐藏好后台。
2、以特殊的 ID 来代替手机号。
3、数据交换使用HTTPS双向验证，防止被嗅探。
4、各种接口对用户身份加强验证。

话说这是小学生写的后端吗。

发自 WordPress for Android