1) Login kontrolünüz sağlam aslında post ları aynı sayfaya yaptığınız için bunu test etmem gereksizdi ancak test ettim. :) Sıkıntı yok.
2) Tekrar vurgulamam gerekecek ki DDOS sorun. Aslında DDOS'ta değil sorun. Formların ard ardı gelen işlemlere açık olmasıyla DDOS benzeri bir saldırıda sunucunun daha çabuk yorulacak olması ve yazılımsal olarak bunun önüne geçilmiyor olması sorun. Bu aynı zamanda brute force atağına yer açıyor.
3) Session güvenliğiniz zayıf. Hata, hatayı doğurur derler ya test ettim :) tamam session'ı okuyabiliyoruz, istediğimizi session'ı atayabiliyoruz ama bütün bunlara rağmen oturum çalınmasını engelleyebilirdiniz. O da Session hijacking saldırısından nasıl korunacağınızı öğrenmeniz ile olur.
Şuanda ben session id yi wdrleo ayarladığım için ve bu siteye ilk girişte olacağı için :) siteye giren ve oradan admin paneline yönelen birisi wdrleo id li session üzerinden işlem yapıyor! yani bu demektir ki giriş yaptığı anda wdrleo session id syle sessiona atanan değerler depolanacak ve bu her giriş yapan için geçerli olacak standart / yönetici kullanıcı ayrımı olduğunu düşünürsek buda benim paneli yeniledikçe :) giriş yapan bir yönetici veya kullanıcının hesabında zahmetsizce olmam demektir.
Tabii ki de bu size yukarıda bahsettiğim xss açığından ve arkadaşın bahsettiği html etiket açığından kaynaklanıyor. Çünkü ben session'ı bu şekilde sabit bir hale getirdim. herkeste aynı olacak bir hale getirdim. Ancak buna rağmen session hijackingi tanırsanız korumayı başlatmış olursunuz.