Formation référencement

Prendre le contrôle d’un annuaire le temps d’une session

Ecrit par admin le dimanche 17 juin 2007 à 2:01 - Catégorie Backlinks

Beaucoup d’annuaires, sont basés sur le script PHP Categorizator, or Categorizator utilise les sessions php pour la gestion du login de l’administration de l’annuaire. La faille réside dans le fait que l’id de session est passé dans l’url.

Et alors ça fait quoi ?

Ca fait que souvent le webmaster qui administre un annuaire va vérifier les sites soumis et donc visiter ces sites en attente de validation.

Il suffit que le hacker surveille ses referers après avoir soumis un site dans l’un de ces annuaire.
Ainsi, si le webmaster de l’annuaire clique à partir de son interface d’administration sur mon lien en attente de validation, le hacker obtiendra dans ses referers une url de la forme suivante :

http://adressedelannuaire.com/admin2/validate_site.php?session_id=61945646746f46977768.17683824

Si le hacker visite cette url, pendant que le webmaster de l’annuaire est loggué, alors il pourra entrer dans l’interface d’administration de l’annuaire et y ajouter des sites.

Pour exploiter cette faille, le hacker doit être réactif, car si le webmaster clique sur le lien de déconnexion dans l’interface privée de l’annuaire, la session est détruite.
D’autre part, au bout d’un certain temps la session est détruite automatiquement (20 minutes en moyenne je crois) mais ce temps varie selon la configuration des serveurs qui hébergent le script.

J’ajoute aussi, que cette faille ne fonctionne que dans le cas où le navigateur web du webmaster de l’annuaire envoie le referer, on peut par exemple facilement le désactiver si on utilise Firefox de Mozilla.

A quoi ça sert de prendre le contrôle de l’interface d’administration de l’annuaire pendant un temps limité ?

A valider votre site immédiatement en ayant la possibilité de le positionner en haut de sa catégorie

A ajouter et valider d’autres sites web.

A pouvoir modifier les paramètres de l’annuaire, autoriser l’inscription automatique des sites, les sites soumis apparaîtront immédiatement dans la partie publique du site, cela permet aussi de désactiver le code captcha…

 

Comment être prévenu automatiquement par mail quand le webmaster de l’annuaire visite votre site ?

Il suffit au hacker de se faire un petit script php qui va enregistrer dans un fichier texte tous les referers (les sites qui visitent notre page).
Dès que l’url de l’un de ces referers contient cette partie d’url « validate_site?session_id= » alors le hacker s’envoie un email contenant l’url du referer, il suffit ensuite de cliquer sur cette url pour accéder à l’interface privée de l’annuaire.

Autre possibilité, dès que ce genre d’url apparait dans nos referers, le hacker appelle un script PHP utilisant Curl qui va soumettre automatiquement plusieurs sites, directement à partir du formulaire de soumission de l’interface d’administration, donc sans code captcha.

 

Comment se prémunir contre ce type d’attaque ?

Soit ne plus passer l’id de session dans les urls (nécessite modification du script à plusieurs endroits).

Soit ajouter une protection par .htaccess sur le repertoire admin2 (protection la plus rapide à mettre en place mais nécessite de se loggeur 2 fois, une fois pour le .htaccess et une seconde fois pour le formulaire de login à l’interface privée).

Soit passer par une page intermédiaire ne contenant plus l’id de session dans l’url, lorsque que l’on souhaite visiter les sites à valider (facile à mettre en place).

Soit utiliser un navigateur comme Firefox et désactiver l’envoi du referer.

Articles liés :

Commentaires (13)

Catégorie: Backlinks


13 Commentaires

Commentaire par ced

dimanche, 17 juin , 2007 à 14:40

Bravo les gars, c’est ça qu’on aime, et je reviendrai ! 😉

Commentaire par admin

dimanche, 17 juin , 2007 à 16:42

Merci Ced pour ce premier commentaire sur seoblackout, sympa ton outil de suivi de positionnement 😉

@ bientôt,

Admin Seo BlackOut

Commentaire par ced

lundi, 18 juin , 2007 à 12:57

Bah, ca commence bien :
> Soit je me suis fait usurper mon identité (ced)
> Soit j’ai un homonyme sur le web (ce qui est possible)

A priori, le site public de Ced est cweben.free.fr…

Merci à Ced de prendre contact avec moi sur Seosphere par exemple, pour qu’on s’arrange tous les 2…

A+ et bravo pour le site !

Commentaire par admin

mardi, 19 juin , 2007 à 14:59

Salut Ced,

Tu as bien un homonyme sur le web 🙂

Welcome home 😉

Admin

Commentaire par Papillon

mardi, 19 juin , 2007 à 16:08

Merci pour tes articles, « Admin ». Ils sont clairs et bien rédigés, du coup, j’ai presque tout compris, peut-être pas la façon de procéder (je ne désespère pas), mais au moins de quoi il en retourne et j’en suis déjà contente…

En tout cas, brillante idée, et longue vie à SeoblackOut…
J’m’en va lui faire un lien « naturel » comme dirait Seb.
May the force be with you…:)

Commentaire par admin

mardi, 19 juin , 2007 à 17:01

Merci Papillon pour ton commentaire et le backlink 😉

@ Bientôt,

Admin SEO BlackOut

Commentaire par mech

mercredi, 20 juin , 2007 à 18:04

oups, désolé ced, je ne savais pas… en même temps, les cedric ça court les rues 😉 allez je change de pseudo et encore bravo

A+

Commentaire par Rgo74

lundi, 25 juin , 2007 à 20:59

Ouf, heureusement que Crazy a changé le chemin de l’admin pour la V3 !!!
😉

Commentaire par admin

lundi, 25 juin , 2007 à 21:04

Si c’est uniquement le chemin qui a changé alors le problème reste le même, est-ce que les id de sessions sont toujours passés dans l’url ?

Commentaire par Gwaradenn

vendredi, 29 juin , 2007 à 8:58

Et moi qui vient sur ce site d’un de mes annuaires !
Merci pour cet article « admin » 😉

Commentaire par admin

vendredi, 29 juin , 2007 à 19:59

Exact :
-http://www.**********-de-liens.info/admin2/validate_site.php?session_id=691574684baf710e414.61008717

😆

Bienvenue Gwa 😉

Commentaire par keusta

mardi, 17 juillet , 2007 à 11:48

Ahah exact, une fois j’ai pu me logguer sur un annuaire et changer la note de mon site grace a la session dans le refferer, mais le webmaster à tout de suite virer mon site dès le lendemain…

ca reste du court terme, malgré tout ou alors il faut être plus discret !!!

en tout cas, bien intéressant votre site, je bookmark illico !
Rss power

Commentaire par admin

dimanche, 22 juillet , 2007 à 1:50

@ Keusta : tout dépend du webmaster que l’on a en face 🙂

Les commentaires sont fermés pour cet article.



SEO BLACKOUT

Site web dédié aux techniques de référencement et de positionnement de sites web sur Google.

Certaines parties du site sont en accès restreint, ces espaces sont réservés à la SEO Black Hat Team.


Don't Be Evil !