5 ottobre 2007 11:36
Per un'Italia SICURA votate Veltroni
Spero solo che chi ha fatto il sito di Veltroni sia suo nipote o qualcuno che non è stato pagato, perchè altrimenti siamo messi male... Volete sapere tutte le password del suo server, ovvero:
-
password dell'Administrator del server
-
password del SA del SQL Server
-
password dell'utente per l'area riservata
Ecco qui: http://www.lanuovastagione.it/gw/producer/index.aspx?t=/web.config
(spero che tra poche ore il bug sia risolto, ma lascio qui uno screenshot dove ho oscurato le pwd per pietà e per non avere la Digos in casa :-) )
I geni hanno pensato bene di fare una pagina unica a cui passare come parametro il nome della pagina da visualizzare (es. http://www.lanuovastagione.it/gw/producer/index.aspx?t=/documenti/indice.htm&tipodoc=94,97,99 )
L'errore marchiano sta ovviamente al non aver pensato a tutti quei file che il motore ASP.NET di per sè bloccherebbe, proprio come il web.config (oltre a usare SA che non si deve, usare impersonation che non si deve, usare un utente admin invece che uno con bassi privilegi, mettere le password in chiaro e non criptate, usare SqlAuthentication, usare debug=true, customErrors=Off, ecc., ecc., ecc.) ?