Comment il a fait ca ? [resolu]

Salut,

A la racine de mon site j'ai un fichier trucmachin1234.php qui affiche toutes les visites de mon site (j'enregistre ces visites dans ma BDD avec index.php).

Ce trucmachin1234.php n'est accessible qu'en tapant monsite.com/trucmachin1234.php, pourtant je viens de voir que quelqu'un a visité cette page trucmachin1234.php !!

Comment a t-il pu faire ca ?
Modifié par apericube (30 Dec 2009 - 14:25)

Bonjour.

L'accès à ce fichier est interdit par quel moyen? .htaccess ?

Non il n'est pas interdit du tout, mais rien ne mene a lui et son nom n'est pas specialement evident.

Je pense qu'en utilisant un aspirateur de site web on peut très facilement avoir un listing de tout les fichiers accessibles sur ton site.

Salut,

Gabor a écrit :
Je pense qu'en utilisant un aspirateur de site web on peut très facilement avoir un listing de tout les fichiers accessibles sur ton site.

Non : un aspirateur se contente de suivre les liens en partant de la racine du site (index.php ou index.htm[l]).

Sinon comment as-tu vu que quelqu'un avait visité cette page ? Pour dire ça autrement : tu en es sûr ?

Quoi qu'il en soit ça n'est pas très compliqué de faire un script qui teste des urls et c'est bien pour cette raison qu'il faut protéger l'accès des pages sensibles.

C'est parce que sur ma page de visites j'affiche le TRUC_REFERER qui me dit d'ou vient le visiteur, et pour la premiere fois j'ai vu l'adresse de la page elle-meme.

Enfin bon cette page renseigne juste sur les visiteurs, donc c'est pas bien grave s'il est possible d'y acceder je suppose.

Bonjour,

Lorsqu'on navigue sur Internet et qu'on clique sur des liens, le navigateur transmet automatiquement l'adresse de la page où le lien a été cliqué. Comme tu le sais déjà, c'est ce qu'on appelle le référant (REFERER).

Donc, si tu as des liens cliquables dans trucmachin1234.php et que tu as cliqué sur ceux-ci, l'adresse de trucmachin1234.php a été transmise aux "sites" cibles. Un responsable de l'un des sites en question a probablement vu l'adresse de trucmachin1234.php dans les référants de ses statistiques de visite, et il a été voir.

Ça se tient?

Quelques solutions :

- Protéger l'accès à la page
- ou ne pas rendre cliquable les liens dans trucmachin1234.php
- ou désactiver l'envoi du référant dans ton navigateur
Modifié par Tony Monast (28 Dec 2009 - 00:41)

Ah je comprend mieux maintenant! Merci bcp.