Attention : Faille phpinfo() utilisable pour le spamdexing

X
xescorp
Guest
La fonction phpinfo() est bien pratique lors du développement d’une application web, mais depuis longtemps il est déconseillé de laisser le fichiers PhpInfo en accès libre sur votre hébergement, car il peut être utilisé par des hackers pour comprendre plus rapidement votre application et en déceler les failles, mais pire il peut être utilisé dans certains types d’attaques Cross Site Scripting .

La dernière en date est une technique de spamdexing (annoncé par le blog Black Hat BVWG), qui consiste à l'affichage à la volée d'un backlink dans le fichier phpinfo.

Les 68800 sites référencés susceptible de subir cette technique risquent un blacklistage en règle lorsque seront générés des milliers de backlinks vers des sites de spam (à noter qu’il existe à la racine de sites des milliers de phpinfo.php qui ne sont pas indexé par Google, mais qui peuvent aussi subir cette faille).


http://www.referencement-blog.net/?35-f ... rs-phpinfo
 
WRInaute occasionnel
Pourquoi laisser le fichier phpinfo.php disponible à tout le monde.
C'est comme ci tu disais, venez voir comment est mon serveur avec toutes ses failles...
 
Nouveau WRInaute
bonjour,

merci pour l'info.
Je n'ai pas de phpinfo.php accessible mais faut-il vraiment s'en soucier ? Les moteurs de recherche devraient bientot ignorer les liens présents dans ces phpinfo, non ?
Ou au contraire les sites laissant ces phpinfo seront-ils pénalisés ? même si les liens pointent vers des domaines non bannis ?

:?:
 
X
xescorp
Guest
A mon avis au moins dans un premier temps il faut s'en soucier, d'autant plus si le phpinfo fait parti de ceux référencés dans Google.

Après je ne sais pas si Google va modifier son algo pour prendre en compte à la fois une erreur de sécu du webmaster et une faille de sécu de phpinfo.
 
Discussions similaires
Haut