Attention aux référenceurs malveillants

[bAsH]

Hello! Today en fesant un peu de référencement j'ai eu droit a une surprise! Je m'inscrit sur un site qui offre l'inscription dans un certain nombre d'annuaires en échange d'un lien.

Je m'inscrit on me propose plusieurs codes dont celui ci:

<?
$logo="http://www.***.com/s/lien-texte.php";
echo implode("",file($logo));
?>

Etant l'une des premières fois qu'on me propose un code en php a insérer dans mon site je décide d'explorer un peu mieux tout ça voir si ça ne risquerait pas d'éxécuter un script derrière...

Je pointe mon navigateur sur l'url ou ça ira récuperer le code a afficher, et a ma surprise en affichant la source je suis tombé sur une dizaine d'URL's au lieu d'une comme indiqué, en plus en <noscript>... De quoi se faire bannir par Google je pense...

<a href="http://www.***.com" target="_blank" alt="Referencement" title="Referencement">R&eacute;f&eacute;rencement</a>
<noscript>
<a href="http://www.***.com" target="_blank" alt="sexe gratuit" title="sexe gratuit">sexe gratuit</a>
<a href="http://www.***.com" target="_blank" alt="caraibes antilles" title="caraibes antilles">caraibes antilles</a>
<a href="http://www.***.com" target="_blank" alt="jeux casino" title="jeux casino">casinos</a>
<a href="http://www.***.net" target="_blank" alt="referencement positionnement" title="referencement positionnement">R&eacute;f&eacute;rencement</a>
<a href="http://www.***.com" target="_blank" alt="gratuit web sexe" title="gratuit web sexe">gratuit sexe</a>
<a href="http://www.***.com" target="_blank" alt="sexe et charme" title="sexe et charme">sexe charme</a>
<a href="http://www.***.com" target="_blank" alt="rencontre" title="rencontre">rencontre</a>
<a href="http://www.***.com/" target="_blank" alt="photos gratuites" title="photos gratuites">photos gratuites</a>
</noscript>

Donc faites gaffe parceque ce ne sont pas les seuls!!

[vpx]

Faut être téméraire pour insérer un include php d'un site étranger sur son propre site...

[pene-r]

Le truc est pas encore au point.
Il faut mettre un seul lien clean au début et tous les mois tu rajoutes un lien dans le fichier source

[ferkcap]

Tu cherches le ref pratique et rapide tu vas sur Seoref et tu t'executes ou laors welcome dans la bande des à la mano ... prend patience

[Leonick]

Faut être téméraire pour insérer un include php d'un site étranger sur son propre site...

tout à fait.
Dans quelques jours ou semaines, ils peuvent transformer le script en

Code: Tout sélectionner

<?php
je me connecte à la base de données.
je récupère les mots de passe
et j'affiche tout ça si le visiteur est xxxx (soit avec un get ou un referer ou le navigateur)
?>

oh ben zut, j'ai été hacké et je ne sais même pas comment ils ont fait

[bAsH]

Ouais c'est clair c'est le genre de trucs que moi je risquerais pas de faire, mais pas mal de gens qui n'ont pas forcément des conaissances "avancées" risqueraient d'utiliser et ne pas capter la magouille.

[Leonick]

par contre, c'est vrai que certains annuaires donnent un code à recopier. Le dit code se trouvant dans un iframe minuscule, mais la ligne fait quelques centaines de caractères et contient une dizaine de liens.
A l'affichage, on ne voit que 1 seul cadre et 1 seul texte. Et ça, je me suis fait avoir au début.
Maintenant, quand je vais sur un annuaire où le lien retour est demandé, je regarde le code. S'il y a plus d'un lien, j'arrête l'inscription.

[pascal1973]

par contre, c'est vrai que certains annuaires donnent un code à recopier. Le dit code se trouvant dans un iframe minuscule, mais la ligne fait quelques centaines de caractères et contient une dizaine de liens.
A l'affichage, on ne voit que 1 seul cadre et 1 seul texte. Et ça, je me suis fait avoir au début.
Maintenant, quand je vais sur un annuaire où le lien retour est demandé, je regarde le code. S'il y a plus d'un lien, j'arrête l'inscription.

Oui beaucoup en echange d'une inscription mettent 5 liens voir plus en lien retour ... arfffffff abusé....

[rog]

désolé mais on ne hacke pas un server avec un echo, la paranoia c'est sain mais dans le cas présent c'est inutile

le visiteur pourrait etre vulnerable au vol de cookies

rog

[Leonick]

désolé mais on ne hacke pas un server avec un echo, la paranoia c'est sain mais dans le cas présent c'est inutile

dans ce cas, on envoie les infos par un mail() ou alors, dans le cas d'un site e-commerce, on modifie les fichiers de connexion à la banque... ou on modifie les prix si on veut faire soit même des achats

le visiteur pourrait etre vulnerable au vol de cookies

Si on n'a pas peur avec l'injection de code php, un vol de cookie, bof

[Bouledogue]

Perso j'ai un code echo qui vous mets 1500 liens d'un coup...

<? echo file_get_contents("http://www.liste-annuaires.com/listeannuaires.php"); ?>


Promis je ne vous ferai pas de misére au niveau hack ...

[e-kiwi]

si avec un echo on peut faire un hack d un site. il suffit dans l include de mettre des echo de nom de variables courtantes utilisées comme nom de bdd / table / login / password et sur un site pas tres bien fait, tu recupere le tout lol

[yep]

tiens encore :p ... vous avez aussi d'autres réponses à sa remarque ici : http://www.webmaster-hub.com/index.php?showtopic=31333
peut-être aurais-tu pu au moins modifier un peu ton messagesur le Hub, ou vice-versa :p.

[bAsH]

Disons que c'est les deux forums sur lesquels je suis le plus actif et j'avais pas trop la motive de faire 2 versions différentes lol.

[Leonick]

c'est bizarre, en fait sur le hub ils ont complètement occulté la question de sécurité.
On ne laisse pas faire un include php à n'importe qui. C'est comme si on lui donnait les codes de notre site