Il blog di Sandro Rizzetto

Per un'Italia SICURA votate Veltroni

 

Spero solo che chi ha fatto il sito di Veltroni sia suo nipote o qualcuno che non è stato pagato, perchè altrimenti siamo messi male... Volete sapere tutte le password del suo server, ovvero:

  • password dell'Administrator del server
  • password del SA del SQL Server
  • password dell'utente per l'area riservata

Ecco qui: http://www.lanuovastagione.it/gw/producer/index.aspx?t=/web.config

(spero che tra poche ore il bug sia risolto, ma lascio qui uno screenshot dove ho oscurato le pwd per pietà e per non avere la Digos in casa :-) )

I geni hanno pensato bene di fare una pagina unica a cui passare come parametro il nome della pagina da visualizzare (es. http://www.lanuovastagione.it/gw/producer/index.aspx?t=/documenti/indice.htm&tipodoc=94,97,99 ) 

L'errore marchiano sta ovviamente al non aver pensato a tutti quei file che il motore ASP.NET di per sè bloccherebbe, proprio come il web.config (oltre a usare SA che non si deve, usare impersonation che non si deve, usare un utente admin invece che uno con bassi privilegi, mettere le password in chiaro e non criptate, usare SqlAuthentication, usare debug=true, customErrors=Off, ecc., ecc., ecc.) ?

Aggiungi Commento

Copyright © 1997-2024 Sandro Rizzetto | All Rights Reserved | Riproduzione delle fotografie vietata | Powered by me