Attention aux référenceurs malveillants

Nouveau WRInaute
Hello! Today en fesant un peu de référencement j'ai eu droit a une surprise! Je m'inscrit sur un site qui offre l'inscription dans un certain nombre d'annuaires en échange d'un lien.

Je m'inscrit on me propose plusieurs codes dont celui ci:

<?
$logo="http://www.***.com/s/lien-texte.php";
echo implode("",file($logo));
?>

Etant l'une des premières fois qu'on me propose un code en php a insérer dans mon site je décide d'explorer un peu mieux tout ça voir si ça ne risquerait pas d'éxécuter un script derrière...

Je pointe mon navigateur sur l'url ou ça ira récuperer le code a afficher, et a ma surprise en affichant la source je suis tombé sur une dizaine d'URL's au lieu d'une comme indiqué, en plus en <noscript>... De quoi se faire bannir par Google je pense...

<a href="http://www.***.com" target="_blank" alt="Referencement" title="Referencement">R&eacute;f&eacute;rencement</a>
<noscript>
<a href="http://www.***.com" target="_blank" alt="sexe gratuit" title="sexe gratuit">sexe gratuit</a>
<a href="http://www.***.com" target="_blank" alt="caraibes antilles" title="caraibes antilles">caraibes antilles</a>
<a href="http://www.***.com" target="_blank" alt="jeux casino" title="jeux casino">casinos</a>
<a href="http://www.***.net" target="_blank" alt="referencement positionnement" title="referencement positionnement">R&eacute;f&eacute;rencement</a>
<a href="http://www.***.com" target="_blank" alt="gratuit web sexe" title="gratuit web sexe">gratuit sexe</a>
<a href="http://www.***.com" target="_blank" alt="sexe et charme" title="sexe et charme">sexe charme</a>
<a href="http://www.***.com" target="_blank" alt="rencontre" title="rencontre">rencontre</a>
<a href="http://www.***.com/" target="_blank" alt="photos gratuites" title="photos gratuites">photos gratuites</a>
</noscript>

Donc faites gaffe parceque ce ne sont pas les seuls!!
 
WRInaute impliqué
Faut être téméraire pour insérer un include php d'un site étranger sur son propre site...
 
WRInaute impliqué
Le truc est pas encore au point.
Il faut mettre un seul lien clean au début et tous les mois tu rajoutes un lien dans le fichier source :lol:
 
WRInaute occasionnel
Tu cherches le ref pratique et rapide tu vas sur Seoref et tu t'executes ou laors welcome dans la bande des à la mano ... prend patience ;)
 
WRInaute accro
vpx a dit:
Faut être téméraire pour insérer un include php d'un site étranger sur son propre site...
tout à fait.
Dans quelques jours ou semaines, ils peuvent transformer le script en
Code:
<?php
je me connecte à la base de données.
je récupère les mots de passe
et j'affiche tout ça si le visiteur est xxxx (soit avec un get ou un referer ou le navigateur)
?>
oh ben zut, j'ai été hacké et je ne sais même pas comment ils ont fait :lol:
 
Nouveau WRInaute
Ouais c'est clair c'est le genre de trucs que moi je risquerais pas de faire, mais pas mal de gens qui n'ont pas forcément des conaissances "avancées" risqueraient d'utiliser et ne pas capter la magouille.
 
WRInaute accro
par contre, c'est vrai que certains annuaires donnent un code à recopier. Le dit code se trouvant dans un iframe minuscule, mais la ligne fait quelques centaines de caractères et contient une dizaine de liens.
A l'affichage, on ne voit que 1 seul cadre et 1 seul texte. Et ça, je me suis fait avoir au début.
Maintenant, quand je vais sur un annuaire où le lien retour est demandé, je regarde le code. S'il y a plus d'un lien, j'arrête l'inscription. :?
 
WRInaute impliqué
Leonick a dit:
par contre, c'est vrai que certains annuaires donnent un code à recopier. Le dit code se trouvant dans un iframe minuscule, mais la ligne fait quelques centaines de caractères et contient une dizaine de liens.
A l'affichage, on ne voit que 1 seul cadre et 1 seul texte. Et ça, je me suis fait avoir au début.
Maintenant, quand je vais sur un annuaire où le lien retour est demandé, je regarde le code. S'il y a plus d'un lien, j'arrête l'inscription. :?

Oui beaucoup en echange d'une inscription mettent 5 liens voir plus en lien retour ... arfffffff abusé.... 8O
 
WRInaute passionné
désolé mais on ne hacke pas un server avec un echo, la paranoia c'est sain mais dans le cas présent c'est inutile

le visiteur pourrait etre vulnerable au vol de cookies

rog
 
WRInaute accro
rog a dit:
désolé mais on ne hacke pas un server avec un echo, la paranoia c'est sain mais dans le cas présent c'est inutile
dans ce cas, on envoie les infos par un mail() ou alors, dans le cas d'un site e-commerce, on modifie les fichiers de connexion à la banque... ou on modifie les prix si on veut faire soit même des achats :evil:
rog a dit:
le visiteur pourrait etre vulnerable au vol de cookies
Si on n'a pas peur avec l'injection de code php, un vol de cookie, bof :wink:
 
WRInaute passionné
Perso j'ai un code echo qui vous mets 1500 liens d'un coup...

<? echo file_get_contents("http://www.liste-annuaires.com/listeannuaires.php"); ?>


Promis je ne vous ferai pas de misére au niveau hack ...

:lol: :lol:
 
WRInaute accro
si avec un echo on peut faire un hack d un site. il suffit dans l include de mettre des echo de nom de variables courtantes utilisées comme nom de bdd / table / login / password et sur un site pas tres bien fait, tu recupere le tout lol
 
Nouveau WRInaute
Disons que c'est les deux forums sur lesquels je suis le plus actif et j'avais pas trop la motive de faire 2 versions différentes lol.
 
WRInaute accro
c'est bizarre, en fait sur le hub ils ont complètement occulté la question de sécurité.
On ne laisse pas faire un include php à n'importe qui. C'est comme si on lui donnait les codes de notre site :roll:
 
WRInaute impliqué
:roll:

Depuis quand on peut exécuter du code qui est sur un serveur distant ? :lol:

C'est pas un include, c'est un file, quand bien même, ca ne changerait rien vu que ca récupère l'output (le code html généré) fourni par le fichier.

Au final il n'y a que des problèmes de sécurité javascript. Il suffit de traîter la chaine distante comme il le faut.
 
WRInaute accro
sauf si dans le file, j'envoie des <?php moncodedehacker ?>
et là ce n'est pas que du js qui sera mis. C'est la même chose, en pire, que la sécurisation de formulaire.
en plus, le implode voudrait dire que la variable reçoit un array() :evil:
 
WRInaute passionné
lol

bonnes réactions

@leonick
la commande file retourne un array, c'est le pourquoi du implode

cette echo offre une multitude de possibilité de hacking

si la régie se fait hacker elle met en danger son portefeuille de diffuseurs

rog
 
Discussions similaires
Haut