Проблема безопасности личного кабинета
Проблема в том, что без авторизации существует возможность попасть в админку и выполнить действия.
Вот коментарий тестировщика: Без учетки чуть сложнее но все еще есть способ провернуть все это накрутить кому то или создать через админку акк и накрутить потом себе. Тут посложнее использовал burp и перехват пакетов когда проваливаешься в админку без учетки тебя сразу выкидывает, тут мы по каждому пакету проходимся и в моменте где мы в админке и где нас не выкинуло мы создаем новые запросы на зачисления и отправляем их , получается так что не имея аккаунта мы можем отправить запросы на пополнение чего либо аккаунта.
Имеется видео его действий.