Система управления сайтом "Фасайт"
 

Пишу новую CMS. Оф. сайт http://fasite.ru

Прошу ваших содействий в нахождении допущенных мной просчетов в защите моего продукта. Архив с исходным кодом:
http://fasite.ru/temp/test.zip

Инсталлятор пока еще не делал, инструкция по установке внутри архива. В настоящее время отлажены и работают:
Регистрация первого администратора с возможностью одновременной регистрации первого пользователя с теми же параметрами;
Авторизация администратора;
Авторизация пользователя;
Настройки системы в админке;
Управление модулями в админке;
Система шаблонизации.

Если возникнут трудности с установкой, пишите :)

Вообще-то демо-контент бы не помешал.
рубрики, новости, поля поиска, комментариев

смотреть пока почти нечего, имхо

http://fasite.ru/images/misc/
зачем там такие права?

именно на оф. сайте, да пока неначто... тему разрешили, теперь сегодня или завтра выложу архив с текущим исходным кодом, сможете ковырять его в свое удовольствие ;)
lisa99, вот видите, уже косячок нашли))) спасибо! забыл я туда пустой файлик index.html засунуть)))

лучше .htaccess'om доступ к папкам прикрой ;)

http://fasite.ru/user/login - XSS в aname.

З.Ы.
Передача нехешированного пароля - плохо.

имеет ли смысл для категорий с картинками? =)
XSS прикрыто! :)

можно подробнее про методы передачи хешированного пароля? с чем это едят?

имело в виду, что пароль надо шифровать хотя бы в md5

так при сохранении в базу именно это и происходит =)

ЗЫ
добавил ссылку на исходник в первом сообщении темы

имелось в виду, что при передаче пароля в плеин-тексте от пользователя к серверу его могут отснифать

понятно! ну и как с этим бороться? как захешировать его до передачи серверу? JAVA? в жабаскрипте я не силен (