[Hackmeeting] mancata sicurezza su partitodemocratico.it

Author: Dominus
Date:
To: hackmeeting
Old-Topics: [Hackmeeting] Flickr.. anzi Flickrosoft :|
Subject: [Hackmeeting] mancata sicurezza su partitodemocratico.it

www.partitodemocratico.it :

<?xml version="1.0"?>
<!-- 
    Nota: come alternativa alla modifica manuale del file, è possibile
utilizzare lo 
    strumento di amministrazione Web per configurare le impostazioni
dell'applicazione. Utilizzare il comando 
    Configurazione ASP.NET del menu Sito Web di Visual Studio.
    Un elenco completo di impostazioni e commenti è disponibile nel file 
    machine.config.comments che si trova in genere in 
    \Windows\Microsoft.Net\Framework\v2.x\Config 
-->
<configuration>

<configSections>
      <section name="easendmail"
type="System.Configuration.DictionarySectionHandler,system,
Version=1.0.3300.0, Culture=neutral, PublicKeyToken=b77a5c561934e089,
Custom=null"/>
</configSections>

    <appSettings>
        <add key="connectionstring"
value="server=151.1.143.225;uid=sa;pwd=sanewpassword;database=pd"/>
        <add key="storye_connection_string"
value="server=151.1.143.225;uid=sa;pwd=sanewpassword;database=pd"/>
        <add key="recperpage" value="30"/>

        <add key="root" value=""/>
    <add key="impersonateDomain" value=""/>
    <add key="impersonateLogin" value="administrator"/>
    <add key="impersonatePassword" value="1aLsTemGI"/>
    </appSettings>

  <easendmail>
    <add key="DefaultSenderAddress" value="web@???"/>
    <add key="DefaultSenderName" value="web@???"/>

    <add key="HeloDomoain" value="mail.partitodemocratico.it"/>
    <add key="Charset" value="iso-8859-1"/>
    <add key="LicenseKey"
value="ES-AA1141023508-00410-0D9B56A1C3AAD30101608BEBDF2FD5E6"/>
  </easendmail>

    <connectionStrings/>
    <system.web>
        <!-- 
            Impostare compilation debug="true" per inserire i 
            simboli di debug nella pagina compilata. Poiché tale
operazione ha effetto 
            sulle prestazioni, impostare questo valore su true 
            solo durante lo sviluppo.

            Opzioni di Visual Basic:
            Impostare strict="true" per impedire qualsiasi conversione di
tipi di dati 
            in caso di possibile perdita di dati. 
            Impostare explicit="true" per imporre la dichiarazione di tutte
le variabili.
        -->
        <compilation debug="false" strict="false" explicit="true">
            <assemblies>

                <add assembly="System.Windows.Forms, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=B77A5C561934E089"/>
                <add assembly="System.Design, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=B03F5F7F11D50A3A"/>
                <add assembly="System.Data, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=B77A5C561934E089"/>
                <add assembly="System, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=B77A5C561934E089"/>
                <add assembly="System.Web, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=B03F5F7F11D50A3A"/>
                <add assembly="System.Xml, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=B77A5C561934E089"/>
                <add assembly="System.Configuration, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=B03F5F7F11D50A3A"/>
                <add assembly="System.Drawing, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=B03F5F7F11D50A3A"/></assemblies></compilation>
        <pages>

            <namespaces>
                <clear/>
                <add namespace="System"/>
                <add namespace="System.Collections"/>
                <add namespace="System.Collections.Specialized"/>
                <add namespace="System.Configuration"/>
                <add namespace="System.Text"/>
                <add namespace="System.Text.RegularExpressions"/>
                <add namespace="System.Web"/>

                <add namespace="System.Web.Caching"/>
                <add namespace="System.Web.SessionState"/>
                <add namespace="System.Web.Security"/>
                <add namespace="System.Web.Profile"/>
                <add namespace="System.Web.UI"/>
                <add namespace="System.Web.UI.WebControls"/>
                <add namespace="System.Web.UI.WebControls.WebParts"/>
                <add namespace="System.Web.UI.HtmlControls"/>
            </namespaces>

        </pages>
        <!--
            La sezione <authentication> consente di configurare 
            la modalità di autenticazione della protezione utilizzata da 
            ASP.NET per identificare un utente in ingresso. 
        -->
        <!--<authentication mode="Windows"/>-->
        <authentication mode="Forms">
            <forms
        name="festaunita"
        path="/"
        loginUrl="/manager/login.aspx"
        protection="All"
        timeout="120"

                <credentials passwordFormat="Clear">
                    <user name="giovanni" password="belf" />
                </credentials>

            </forms>
        </authentication>

        <identity impersonate="false"/>
    <customErrors mode="Off" />
        <!--
            La sezione <customErrors> consente di configurare 
            l'operazione da eseguire in caso di errore non gestito 
            durante l'esecuzione di una richiesta. In particolare, 
            consente agli sviluppatori di configurare le pagine di errore
HTML 
            in modo che vengano visualizzate al posto dell'analisi dello
stack dell'errore.

        <customErrors mode="RemoteOnly"
defaultRedirect="GenericErrorPage.htm">
            <error statusCode="403" redirect="NoAccess.htm" />
            <error statusCode="404" redirect="FileNotFound.htm" />
        </customErrors>
        -->
    </system.web>
    <location path="manager">
        <system.web>

            <authorization>
                <allow users="giovanni" />
                <deny users="*" />
            </authorization>
        </system.web>
    </location>
</configuration>

This message is part of the following thread:
	the complete thread tree sorted by date

	Mr. PREXURE at