Attention aux référenceurs malveillants

bAsH · 3 Janvier 2007

Hello! Today en fesant un peu de référencement j'ai eu droit a une surprise! Je m'inscrit sur un site qui offre l'inscription dans un certain nombre d'annuaires en échange d'un lien.

Je m'inscrit on me propose plusieurs codes dont celui ci:

<?
$logo="http://www.***.com/s/lien-texte.php";
echo implode("",file($logo));
?>

Etant l'une des premières fois qu'on me propose un code en php a insérer dans mon site je décide d'explorer un peu mieux tout ça voir si ça ne risquerait pas d'éxécuter un script derrière...

Je pointe mon navigateur sur l'url ou ça ira récuperer le code a afficher, et a ma surprise en affichant la source je suis tombé sur une dizaine d'URL's au lieu d'une comme indiqué, en plus en <noscript>... De quoi se faire bannir par Google je pense...

<a href="http://www.***.com" target="_blank" alt="Referencement" title="Referencement">Référencement</a>
<noscript>
<a href="http://www.***.com" target="_blank" alt="sexe gratuit" title="sexe gratuit">sexe gratuit</a>
<a href="http://www.***.com" target="_blank" alt="caraibes antilles" title="caraibes antilles">caraibes antilles</a>
<a href="http://www.***.com" target="_blank" alt="jeux casino" title="jeux casino">casinos</a>
<a href="http://www.***.net" target="_blank" alt="referencement positionnement" title="referencement positionnement">Référencement</a>
<a href="http://www.***.com" target="_blank" alt="gratuit web sexe" title="gratuit web sexe">gratuit sexe</a>
<a href="http://www.***.com" target="_blank" alt="sexe et charme" title="sexe et charme">sexe charme</a>
<a href="http://www.***.com" target="_blank" alt="rencontre" title="rencontre">rencontre</a>
<a href="http://www.***.com/" target="_blank" alt="photos gratuites" title="photos gratuites">photos gratuites</a>
</noscript>

Donc faites gaffe parceque ce ne sont pas les seuls!!

vpx · 3 Janvier 2007

Faut être téméraire pour insérer un include php d'un site étranger sur son propre site...

pene-r · 3 Janvier 2007

Le truc est pas encore au point.
Il faut mettre un seul lien clean au début et tous les mois tu rajoutes un lien dans le fichier source :lol:

ferkcap · 3 Janvier 2007

Tu cherches le ref pratique et rapide tu vas sur Seoref et tu t'executes ou laors welcome dans la bande des à la mano ... prend patience

Leonick · 3 Janvier 2007

vpx a dit:
Faut être téméraire pour insérer un include php d'un site étranger sur son propre site...

tout à fait.
Dans quelques jours ou semaines, ils peuvent transformer le script en

Code:

<?php
je me connecte à la base de données.
je récupère les mots de passe
et j'affiche tout ça si le visiteur est xxxx (soit avec un get ou un referer ou le navigateur)
?>

oh ben zut, j'ai été hacké et je ne sais même pas comment ils ont fait :lol:

bAsH · 4 Janvier 2007

Ouais c'est clair c'est le genre de trucs que moi je risquerais pas de faire, mais pas mal de gens qui n'ont pas forcément des conaissances "avancées" risqueraient d'utiliser et ne pas capter la magouille.

Leonick · 4 Janvier 2007

par contre, c'est vrai que certains annuaires donnent un code à recopier. Le dit code se trouvant dans un iframe minuscule, mais la ligne fait quelques centaines de caractères et contient une dizaine de liens.
A l'affichage, on ne voit que 1 seul cadre et 1 seul texte. Et ça, je me suis fait avoir au début.
Maintenant, quand je vais sur un annuaire où le lien retour est demandé, je regarde le code. S'il y a plus d'un lien, j'arrête l'inscription. :?

pascal1973 · 4 Janvier 2007

Leonick a dit:
par contre, c'est vrai que certains annuaires donnent un code à recopier. Le dit code se trouvant dans un iframe minuscule, mais la ligne fait quelques centaines de caractères et contient une dizaine de liens.
A l'affichage, on ne voit que 1 seul cadre et 1 seul texte. Et ça, je me suis fait avoir au début.
Maintenant, quand je vais sur un annuaire où le lien retour est demandé, je regarde le code. S'il y a plus d'un lien, j'arrête l'inscription. :?

Oui beaucoup en echange d'une inscription mettent 5 liens voir plus en lien retour ... arfffffff abusé.... 8O

rog · 4 Janvier 2007

désolé mais on ne hacke pas un server avec un echo, la paranoia c'est sain mais dans le cas présent c'est inutile

le visiteur pourrait etre vulnerable au vol de cookies

rog

Leonick · 4 Janvier 2007

rog a dit:
désolé mais on ne hacke pas un server avec un echo, la paranoia c'est sain mais dans le cas présent c'est inutile

dans ce cas, on envoie les infos par un mail() ou alors, dans le cas d'un site e-commerce, on modifie les fichiers de connexion à la banque... ou on modifie les prix si on veut faire soit même des achats :evil:

rog a dit:
le visiteur pourrait etre vulnerable au vol de cookies

Si on n'a pas peur avec l'injection de code php, un vol de cookie, bof :wink:

Bouledogue · 4 Janvier 2007

Perso j'ai un code echo qui vous mets 1500 liens d'un coup...

<? echo file_get_contents("http://www.liste-annuaires.com/listeannuaires.php"); ?>

Promis je ne vous ferai pas de misére au niveau hack ...

:lol: :lol:

e-kiwi · 4 Janvier 2007

si avec un echo on peut faire un hack d un site. il suffit dans l include de mettre des echo de nom de variables courtantes utilisées comme nom de bdd / table / login / password et sur un site pas tres bien fait, tu recupere le tout lol

yep · 5 Janvier 2007

tiens encore

... vous avez aussi d'autres réponses à sa remarque ici : http://www.webmaster-hub.com/index.php?showtopic=31333
peut-être aurais-tu pu au moins modifier un peu ton messagesur le Hub, ou vice-versa

.

bAsH · 5 Janvier 2007

Disons que c'est les deux forums sur lesquels je suis le plus actif et j'avais pas trop la motive de faire 2 versions différentes lol.

Leonick · 5 Janvier 2007

c'est bizarre, en fait sur le hub ils ont complètement occulté la question de sécurité.
On ne laisse pas faire un include php à n'importe qui. C'est comme si on lui donnait les codes de notre site :roll:

pascal1973 · 5 Janvier 2007

Salut , de toute façon rien ne vaut un ref manuel et naturel ... c'est long mais ca payes au fur et à mesure du temps .

mowmow · 5 Janvier 2007

:roll:

Depuis quand on peut exécuter du code qui est sur un serveur distant ? :lol:

C'est pas un include, c'est un file, quand bien même, ca ne changerait rien vu que ca récupère l'output (le code html généré) fourni par le fichier.

Au final il n'y a que des problèmes de sécurité javascript. Il suffit de traîter la chaine distante comme il le faut.

Leonick · 6 Janvier 2007

sauf si dans le file, j'envoie des <?php moncodedehacker ?>
et là ce n'est pas que du js qui sera mis. C'est la même chose, en pire, que la sécurisation de formulaire.
en plus, le implode voudrait dire que la variable reçoit un array() :evil:

rog · 6 Janvier 2007

lol

bonnes réactions

@leonick
la commande file retourne un array, c'est le pourquoi du implode

cette echo offre une multitude de possibilité de hacking

si la régie se fait hacker elle met en danger son portefeuille de diffuseurs

rog