Seohackers netlinking

Nouvelle option adsense, les coins arrondis

Ecrit par admin le jeudi 28 juin 2007 à 2:59 - Catégorie Optimisation Adsense

Google AdSense propose une nouvelle option pour customiser vos annonces AdSense.
Vous pouvez maintenant choisir entre « les coins carrés » (qu’on connait déjà), mais également « les coins légèrement arrondis » ou « très arrondis » en adaptant votre annonce.

Ceci déclenchera un changement du Javascript, qui a maintenant la ligne google_ui_features = « rc : X », où « x » est 0, 6, ou 10 (de non-arrondi à très arrondi – les âmes courageuses peuvent essayer d’autres valeurs RC, bien que ce soit contre les guidelines d’AdSense et pourrait donc poser des problèmes).

Exemple :
optimisation adsense

option optimisation adsense coins arrondis et background

Cette nouvelle option proposée par Google peut permettre d’augmenter potentiellement les clicks sur vos annonces, à vous de faire au mieux.

Commentaires (2)

Catégorie: Optimisation Adsense

Shell me Baby

Ecrit par Zyzko le mercredi 20 juin 2007 à 21:54 - Catégorie Sécurité Internet et SEO,Scripts PHP

Bien le bonjour, je vous propose une brève description d’un script fort problématique pour les administrateurs de serveur web.

Ce script PHP que nous appellerons « Shell me Baby » émule un terminal SHELL et vous permet d’exécuter des commandes SHELL via http, de naviguer à travers l’arborescence du serveur, d’éditer n’importe quel fichier du type config.inc, .htaccess, config.php & cie, de créer, modifier ou effacer des fichiers. Intéressés ?

La première question qui vient à l’esprit est comment est ce possible d’accéder à un SHELL sans avoir un compte utilisateur, root ou non ? Et bien nous n’en avons pas besoin car nous utilisons les droits inhérents à PHP, droits qui sont bien souvent trop larges.

Ce type de script est bien souvent utilisé par les pirates dès lors qu’ils décident de passer via des failles PHP. La première étape, pas la moindre, est d’identifier un moyen d’envoyer notre script sur le serveur ou bien de tirer parti d’une faille de type GLOBAL_REGISTER pour alors executer son script depuis une url tierce et distante de la machine cible. Une fois le script opérationnel c’est bien souvent le début de la fin pour le serveur.

Vous voulez tester le bébé : ouvrez donc un compte sur un serveur mutualisé et uploadez-y le script. Une fois le prompt devant les yeux allez de ‘cd ..’en ‘cd ..’, tenter un ‘vi’ par ci, un ‘vi’ par là ; nous en reparlerons si vous le voulez bien prochainement, ainsi que de ses tweaks possibles…

Téléchargement (à consommer avec modération, réservé aux utilisateurs avancés) :

Lien supprimé par admin.

Commentaires (2)

Catégorie: Sécurité Internet et SEO,Scripts PHP

Faille internet explorer 7 pour conserver le visiteur sur son site

Ecrit par Deesse le mardi 19 juin 2007 à 16:39 - Catégorie Sécurité Internet et SEO

Cette faille a été testée sur les navigateurs : IE 6.0.2900, IE 7, 0pera  8.02, Firefox 2.0.0.4. sous le système d’exploitation Windows XP édition familial 2002 SP2.

Elle fonctionne parfaitement avec Internet Explorer 6 et Internet Explorer 7.

Que fait cette faille de sécurité ?

Elle permet d’empêcher un visiteur de quitter le site, si le visiteur saisi une adresse dans la barre d’adresse du navigateur, celui-ci reste sur le site mais l’adresse change, ce qui permet aussi de faire croire au visiteur qu’il a quitté le site pour google.com par exemple alors qu’il est encore sur la page piégée.

On peut ainsi essayer de voler le login et pass du visiteur qui tenterait de se connecter à google par exemple en copiant le html de la page de google sur notre page piège…

Une démo sera plus parlante :

http://www.seoblackout.com/scripts/security_hole_ie/ietrap.php

Solution :

Pour éviter de se faire piéger, fermer la fenêtre du navigateur de la page piégée et ouvrir une nouvelle fenêtre lorsque vous souhaitez vous connecter quelquepart ou alors désactivez le javascript.

Source originale de l’article :

http://lcamtuf.coredump.cx/

 

Commentaires (1)

Catégorie: Sécurité Internet et SEO

Prendre le contrôle d’un annuaire le temps d’une session

Ecrit par admin le dimanche 17 juin 2007 à 2:01 - Catégorie Backlinks

Beaucoup d’annuaires, sont basés sur le script PHP Categorizator, or Categorizator utilise les sessions php pour la gestion du login de l’administration de l’annuaire. La faille réside dans le fait que l’id de session est passé dans l’url.

Et alors ça fait quoi ?

Ca fait que souvent le webmaster qui administre un annuaire va vérifier les sites soumis et donc visiter ces sites en attente de validation.

Il suffit que le hacker surveille ses referers après avoir soumis un site dans l’un de ces annuaire.
Ainsi, si le webmaster de l’annuaire clique à partir de son interface d’administration sur mon lien en attente de validation, le hacker obtiendra dans ses referers une url de la forme suivante :

http://adressedelannuaire.com/admin2/validate_site.php?session_id=61945646746f46977768.17683824

Si le hacker visite cette url, pendant que le webmaster de l’annuaire est loggué, alors il pourra entrer dans l’interface d’administration de l’annuaire et y ajouter des sites.

Pour exploiter cette faille, le hacker doit être réactif, car si le webmaster clique sur le lien de déconnexion dans l’interface privée de l’annuaire, la session est détruite.
D’autre part, au bout d’un certain temps la session est détruite automatiquement (20 minutes en moyenne je crois) mais ce temps varie selon la configuration des serveurs qui hébergent le script.

J’ajoute aussi, que cette faille ne fonctionne que dans le cas où le navigateur web du webmaster de l’annuaire envoie le referer, on peut par exemple facilement le désactiver si on utilise Firefox de Mozilla.

A quoi ça sert de prendre le contrôle de l’interface d’administration de l’annuaire pendant un temps limité ?

A valider votre site immédiatement en ayant la possibilité de le positionner en haut de sa catégorie

A ajouter et valider d’autres sites web.

A pouvoir modifier les paramètres de l’annuaire, autoriser l’inscription automatique des sites, les sites soumis apparaîtront immédiatement dans la partie publique du site, cela permet aussi de désactiver le code captcha…

 

Comment être prévenu automatiquement par mail quand le webmaster de l’annuaire visite votre site ?

Il suffit au hacker de se faire un petit script php qui va enregistrer dans un fichier texte tous les referers (les sites qui visitent notre page).
Dès que l’url de l’un de ces referers contient cette partie d’url « validate_site?session_id= » alors le hacker s’envoie un email contenant l’url du referer, il suffit ensuite de cliquer sur cette url pour accéder à l’interface privée de l’annuaire.

Autre possibilité, dès que ce genre d’url apparait dans nos referers, le hacker appelle un script PHP utilisant Curl qui va soumettre automatiquement plusieurs sites, directement à partir du formulaire de soumission de l’interface d’administration, donc sans code captcha.

 

Comment se prémunir contre ce type d’attaque ?

Soit ne plus passer l’id de session dans les urls (nécessite modification du script à plusieurs endroits).

Soit ajouter une protection par .htaccess sur le repertoire admin2 (protection la plus rapide à mettre en place mais nécessite de se loggeur 2 fois, une fois pour le .htaccess et une seconde fois pour le formulaire de login à l’interface privée).

Soit passer par une page intermédiaire ne contenant plus l’id de session dans l’url, lorsque que l’on souhaite visiter les sites à valider (facile à mettre en place).

Soit utiliser un navigateur comme Firefox et désactiver l’envoi du referer.

Commentaires (13)

Catégorie: Backlinks

SEO Black Out, un nouveau site sur le référencement et les techniques de référencement.

Ecrit par admin le dimanche 10 juin 2007 à 20:11 - Catégorie SEO BlackOut Life

Bienvenue sur SEO BlackOut, site web dédié aux techniques de référencement et de positionnement de sites web.

Vous trouverez sur SEO BlackOut, à la fois des techniques dites SEO white hat et bien sûr les techniques dites SEO Black Hat, qui occuperont une part importante de ce site.

SEO signifie Search Engine Optimization, littéralement traduit par optimisation des moteurs de recherche en vue, bien sûr, d’optimiser le positionnement d’un site web sur les différents moteurs de recherche.

Un bon référenceur ne peut faire abstraction de ces techniques dites SEO Black hat, ne serait-ce que pour pouvoir se protéger de certaines attaques liées à ce genre de techniques SEO Black Hat.

@ Bientôt,

SEO Black Hat Team

Commentaires (8)

Catégorie: SEO BlackOut Life



SEO BLACKOUT

Site web dédié aux techniques de référencement et de positionnement de sites web sur Google.

Certaines parties du site sont en accès restreint, ces espaces sont réservés à la SEO Black Hat Team.


Don't Be Evil !