logo Homepage
+  NewbieContest
|-+  Divers» Hacking» Guessing: structure d'un site
Username:
Password:
Pages: 1 [2]
  Imprimer  
Auteur Fil de discussion: Guessing: structure d'un site  (Lu 8719 fois)
_o_
Relecteur

Profil challenge

Classement : 42/54252

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1258


Voir le profil
« #15 le: 26 Janvier 2011 à 23:05:52 »

Tu as parlé des robots archiveurs, ce qui me fait penser que google, a moins que l'on precise dans robot.txt a la racine du site les repertoires que l'on veut garder secret,

C'est bien là où je voulais en venir. C'est toujours intéressant de voir le contenu de ce fichier. On peut y trouver des choses que le webmaster ne souhaite pas voir traîner sur un moteur de recherche.
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
Hillfias

Profil challenge

Classement : 387/54252

Néophyte
*
Hors ligne Hors ligne
Messages: 30


Voir le profil
« #16 le: 28 Janvier 2011 à 09:21:39 »



De plus, pourquoi inventer des protections comme le htaccess ou encore un systeme de session pour proteger un panel d'administration, alors qu'il suffit que le dossier ne soit cité nul part...

Ce n'est pas parce que le dossier n'est cité nul part qu'il n'est pas accessible ! Un autre exemple : je prends un mutualisé chez un hébergeur. Ce n'est pas parce que je ne mets pas le nom du dossier dans mes pages web qu'un admin verreux ne le verra pas. Un coup de "ls" et il trouve ton dossier (sans parler des problèmes de avec les autres comptes mutu du serveur). D'où l'intérêt d'avoir un système avec (au minimum, on voit bien que ce n'est pas toujours suffisant) un mot de passe.

Ta reponse se place dans une configuration ou on a hébergé un site web sur un hébergeur gratuit qui héberge plein d'autres sites web et qu'il y a la possibilité de se balader librement partout ( a ce moment la pourquoi pas faire deux trois modifs sur le fichier /etc/passwd et supprimer les sites webs de tout les autre hébergés... non ?).
Dans la pluspart des cas, si le serveur possède un minimum de sécurité on ne pourra pas voir la structure du site des autres hébergés.
Je n'ai jamais dit que le dossier n'etait pas accessible mais juste qu'il etait garder secret, si le dossier a un nom de ce genre :
1!%uT(F_n/8*]é+12JnhGT- Je ne pense pas que meme avec un logiciel de brute force qui fonctionne avec une wordlist puisse decouvrir ce repertoire.



Tu as parlé des robots archiveurs, ce qui me fait penser que google, a moins que l'on precise dans robot.txt a la racine du site les repertoires que l'on veut garder secret, connait la structure du site grace a son petit robot.

Pas une bonne idée non plus le robots.txt, tout le monde peut y accéder sans problème !
Justement ! a moins de placer un .htacess qui interdirais l'acces au fichiers robots.txt on peut y acceder sans probleme pour voir eventuellement les repertoires que l'admin ne veut pas voir visité pas les robots google. (un eventuel pannel admin par exemple)
Donc a moins de placer ce fichier a la racine, certains repertoires seront peut-etre repertoriés dans les moteurs de recherche contre notre gré d'ou l'interet du fichier...



Plustot que de faire du brute force, ne serait-ce pas plus interessant de se demander comment fonctionne les robots de google, et, pourquoi pas, essayer d'en reproduire le comportement pour decouvrir la structure d'un site ? Est-ce une bonne piste a suivre, si l'on veut faire de plus ample rechercher a ce sujet, ou est-ce que je dis n'importe quoi ? (ce qui est tres possible )

Un robot n'est pas intelligent. Il regarde une page web, récupère tous les liens qui sont présents. Il regarde ensuite tous les liens qu'il a récupéré, puis récupère tous les liens de ces pages, etc. Un aspirateur de site Web fait exactement la même chose. Il existe plein de scripts pour crawler on ze oueb

Enjoy

The lsd

Si un robot n'est pas intelligent, ce qui est le cas, par contre pourquoi empecher un robot de repertorier des repertoires supposés rester secret si il n'est capable que de faire la meme chose qu'un aspirateur de site ? A ce moment la le fichier robot.txt, dans le cas d'un site qui ne divulgue nul part son dossier secret n'aurais aucune utilité ?

Pour bruteforcer les répertoires de sites, je crois que Intellitamper le fait... à vérifier.

Oui apparemment il le fait.
Tu as parlé des robots archiveurs, ce qui me fait penser que google, a moins que l'on precise dans robot.txt a la racine du site les repertoires que l'on veut garder secret,

C'est bien là où je voulais en venir. C'est toujours intéressant de voir le contenu de ce fichier. On peut y trouver des choses que le webmaster ne souhaite pas voir traîner sur un moteur de recherche.

Il faudrait se mettre d'accord entre vous ! xD Un robot est-il capable de repertorier oui ou non des repertoires qui ne sont cités nul part sur les pages web ( pas de lien vers ce repertoire ni rien) ? Si non, quel est l'interet du fichier robot.txt dans le cas d'un repertoire cité nul part ? Si oui, est-on capable de reproduire son comportement, et d'ignorer les directives du fichier robot.txt pour quand meme decouvrir les dossiers cachés ?
Journalisée

If you can't explain it, you don't understand it well enough - Albert Einstein
Pages: 1 [2]
  Imprimer  
 
Aller à: