WooYun.org

www.itnrw.com/admin 后台用户名:admin 密码:admin
进入之后可以看到的信息有很多，例如会员管理，广告申请，广告驳回。我感觉和一个数据库没什么区别了，那么在这样大的权限下还这么没安全意识的话就是你们的不对了。
1、首先说权限的问题。
你把权限设置的很大就会和数据库平级，虽然说也许你的上传过滤做的很好，获得不到服务器的权限，但是其实最重要的就是用户的数据。但是在您们的后台中，我看到了简历用户数据，会员用户等等。
2、网站后台逻辑
当我进入后台我第一眼看的其实是验证码，而且貌似验证码做的很高科技的样子，浮动可动的那种，我觉得爆破是不是没戏了。但是我输入了一次 U;admin P;123456后我发现您家验证码居然不刷新。。。这个很让我费解，所以在验证码处也要去做改进。
3、后台调用表
后台就是后台，数据库就是数据库，我觉得你在后台中显示数据库的表名什么的是不对的。所以我觉得在管理操作log这个东西没必要在后台中显示，建议您增加一个管理员登陆纪录和IP的记录。