自7月3日晚上知道贝壳小岛的存在一来，陆续发现了贝壳小岛的多个高危漏洞，当然大葱哥还是保持了传统习惯，第一时间通知了官方，官方也对漏洞了进行了紧急修复。

随意访问的后台系统

贝壳小岛使用了微信小程序的开发模式，这个大葱哥之前没玩过，不是很熟悉，7月3日夜间偶尔发现了小岛的小程序有调试开关，可以开vconsole,而这个调试模式给大葱哥提供了很多关键有用的信息，顺藤摸瓜意外的发现了贝壳小岛的后台系统，更神奇的是这个后台系统的登录只是一个摆设，大葱哥顺利的进去了超管权限，以至于当时大葱哥觉得进去的是一个测试后台，不能是真正得后台，结果事实证明，现实就是这么的残酷，我进去的是千真万确的后台。
那么有了后台能干些什么呢，第一次接触小岛不清楚小岛的流程，只看到新用户需要给小岛的简书账户转1个贝完成认证后才能交易，而大葱哥在后台看到了认证审核功能，于是乎自己给自己完成了认证，赚了小岛1个贝的便宜。
接着发现还有充值的审核功能，大概明白了小岛的流程，于是发起一笔充值(没有转贝)，自己给自己完成了审核，呵呵，当然不作恶的，如果作恶就赶紧卖掉套现闪人了。
到这里觉得这个漏洞的危害已经很高了，7 月4日零点多的时候第一时间联系官方人员告知了这个漏洞，官方人员把我账号中的金额修复为正常值。
很多开发人员都不了解安全这一块，所以导致了很多系统都有大量的安全隐患，而这些安全隐患信你大部分都是很低级的问题，但其危害却很大很严重的，你以为自己衣着光鲜，其实是在裸奔，只不过是太小没有价值看不在眼里，或者别人已经盯上只是暗中把你养肥外后再伺机而动。