Подскажите, пожалуйста, как искать уязвимости самописного сайта? Исполнение в jquery/jquery UI. Форма ввода логина/пароля устойчива к sql inj, хранит на сервере информацию о количестве попыток авторизации на протяжении 5 минут(в общем 4 попытки авторизации в 5 минут), при привышении лимита ввода--> каптча, простенькая 4х циферная, хорошо читабельная, но без какого либо алгоритма.
Что еще может быть потенциально опасным? Где искать ошибки? Достаточно ли такой капчи, или нужна сложнее?