Podatność na wielokrotną rejestracje z tego samego captcha, FPD przy wysyłaniu POST'em pod adres
http://schoolnap.pl/password:
name=asd&email[]=asd%40asd.com&birthday=11-11-1111&captcha=6m52ra&submit=Przypomnij
Nie sprawdzałem innych miejsc pod kątem FPD, pokazałem tylko jakie są błędy.
Phpshella też można wgrać
/profile/edit też by się przydało zablokować dopóki nie zabezpieczysz przed wgrywaniem dowolnych plików bo prawdopodobnie można wgrać phpshella (nie chcę się cackać z tym teraz ale pliki php można przesyłać). Sprawdzasz nazwę pliku i format w nazwie a musisz jeszcze sprawdzać typ pliku - LHH w FF i po herbacie masz. I tu masz znowu FPD.
Reszty nie chciało mi się szukać, jeżeli chcesz żeby ktoś to zrobił dokładnie to daj kody źródłowe do sprawdzenia, mi nie chce się szukać igły w stogu siana. Jak sypniesz kasą to możesz mi to zlecić (PW) albo daj tutaj kod tylko licz się z tym, że jeżeli ktoś znajdzie dziurę to może zostawić sobie lukę "na później".
// A - no i oczywiście XSS w nicku, XSS'ów masz od groma
poddaj wszystkie zmienne filtracji