Les journaux de votre serveur web sont de passionnantes sources d’information, notamment lorsqu’il s’agit de vous tenir au courant des dernières attaques web à la mode. Celles-ci seront en effet selon toute probabilité essayées contre votre serveur et laisseront des traces dans vos journaux, ce qui vous permet d’identifier les cibles populaires du moment.

Ainsi lors d’une récente lecture de nos journaux web nous avons constaté des tentatives répétées d’appeler un fichier Javascript inexistant et inconnu. Il appartient probablement à un quelconque CMS ou un outil web populaire pour lequel une vulnérabilité vient d’être découverte.

Le premier réflexe dans ce cas est évidemment de faire une recherche sur Google avec le chemin complet demandé. Nous avons alors obtenu sinon une réponse immédiate à notre question, du moins une liste de sites vulnérables : tous avaient en effet référencés le fichier en question dans leur site map.

L’intérêt de ce standard poussé par Google est de faciliter l’indexation des pages utiles du site par les moteurs de recherche, au bénéfices des utilisateurs. Mais ici non seulement l’indexation de ces pages est inutile, mais elle est surtout dangereuse car elle permet un repérage des cibles à exploiter plus simplement que s’il fallait scanner des milliers de serveurs (l’attaquant délègue alors cette tâche fastidieuse aux robots d’indexation de Google)

Le contenu d’un fichier site map étant purement déclaratif, il est pourtant parfaitement possible de décider ce que l’on souhaite y inclure… ou pas ! Celui-ci ne devrait ainsi contenir que les pages destinées aux visiteurs, que le site souhaite voir indexées au mieux. Et non les répertoires des extensions et autres technologies du web.

Hélas les fichiers de site map étant le plus souvent générés automatiquement il est facile d’oublier d’exclure les répertoires « techniques »…