Qu’allez-vous faire si un robot d’indexation légitime de Google a été utilisé pour attaquer votre site ? Devrez-vous bloquer le bot (bloquant par la même occasion l’indexation de votre site), ou autoriser le trafic malveillant ?
C’est l’épineuse question à laquelle a été confronté le cabinet de sécurité Sucuri, suite à des activités louches sur le site d’un client. Après des investigations, Sucuri s’est rendu compte que le bot Google était à l’origine du problème.
Dans un billet de blog, Daniel Cid, PDG de Sucuri, présente de façon détaillée un scénario d’injection SQL (SQLI) en utilisant le bot Google. « Supposons que nous avons un hacker, son nom est John », écrit Cid.
John parcourt internet et retrouve suffisamment de données pour créer une attaque en direction du site B. John, qui n’est pas un novice dans le piratage, sait que pour mener une attaque réussie, vous devez effacer vos traces et empêcher qu’on remonte jusqu’à vous.
Très futé, plutôt que de lancer lui-même des requêtes vers le site B, John se contente de créer sur son site un lien comportant des attaques SQLI. Ensuite, il laisse la sale besogne aux robots d’indexation Google, ainsi qu'à ceux utilisés par les autres moteurs de recherche (Bing, Yahoo, etc.), car ils n’ont aucun moyen de savoir si le lien est mal-formé ou s’il est légitime.
Code : | Sélectionner tout |
1 2 3 | 66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q% 20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" |
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 | $ host 66.249.66.138 138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com. NetRange: 66.249.64.0 - 66.249.95.255 CIDR: 66.249.64.0/19 OriginAS: NetName: GOOGLE |
Source : Sucuri
Et vous ?
Qu'en pensez-vous ? Et si vous êtes face à une telle situation, comment allez-vous procéder ?