UAG CMS : Test de sécurité

[Swissky]

En regardant rapidement:
dans la source de http://uag.ostreaming.net/admin/ajouter_news.php
on a : <script type="text/javascript">addEvt(window,'load',whizzywig);</script> et le body avec la fonction onload='whizzy..." bref c'est un peu useless ?
Apparemment la page deconnexion est pas super sécure, imaginons que la mette en iframe dans un site quelconque , tu seras déconnecté directement (après c'est pas d'une réelle utilité ^^')

Critique: http://uag.ostreaming.net/admin/configuration.txt
Identifiant admin et autres données :Test pour n pn-fr-ThibauT--https://www.google.fr/-defaut1.css-test-admin-
De base stocker des info en clair c'est pas bon , alors sois tu mets un .htaccess ou alors tu cryptes les données avec un algo de ta création, tu peux aussi faire un mix, je te conseille aussi de chiffrer le mot de passe en MD5.

Le script d'upload , déjà dit mais je le redit , il est pas sécurisé contre la faille upload en général.

Concernant la favicon et le logo j'ai l'impression qu'on peut inclure n'importe quelle page, j'ai pas testé , mais cela vaudrait le coup d'inclure une page php qui renvoi une image et script malveillant(enfin un fake pour le test)

Je n'ai pas non plus eu le temps de vérifier le code si quelqu'un à le courage , il faudrait vérifier si des tokens sont utilisés sinon n'importe qui peut faire une CSRF et ainsi modifier ton configuration.txt

Certains on été plus rapide ^^"

@Drku, il a surement du faire ça pour simplifier la tache des utilisateurs