URLs standards
De Wiki privé de démonstration – Wiki Valley
La liste ci-dessous est un recensement non-exhaustif d’URLs standards ou courantes, par exemple /favicon.ico
ou /.well-known/…
Lorsqu’on héberge un site, il faut s’attendre à reçevoir des requêtes vers ces URLs standards (la fréquence dépendant de la popularité du standard).
Pour les nombreuses URLs commençant par /.well-known
, voir le registre IANA et l’article Wikipédia en anglais.
URL | Fonctionnalité | Standard ? | Fréquence | Documentation |
---|---|---|---|---|
/favicon.ico
|
Icône de signet/onglet… | Très courant. Est-ce standard ? | Très répandu | Article Wikipédia |
/robots.txt
|
Instructions pour les robots crawleurs | non, de facto | Très répandu | Article Wikipédia, robotstxt.org, robots-txt.com |
/ads.txt
|
? | ? | ? | Article Wikipédia en anglais |
/apple-touch-icon.png
|
? | ? | ? | ? |
/.well-known/
|
Chemin prévu pour éviter l’accumulation de fichiers "système" à la racine d’un site Web (/robots.txt, /favicon.ico, …) et éviter de polluer l’espace de nommage du site | oui | de plus en plus fréquent | RFC 5785, Registre IANA, Article Wikipédia en anglais |
/.well-known/acme-challenge/{token}
|
Authentification du domaine par Let’s Encrypt | oui | Utilisé de façon très temporaire lorsque le site utilise Let’s Encrypt | RFC 8555 |
/.well-known/traffic-advice
|
Similaire à /robots.txt pour les logiciels préchargeant (prefetching) des ressources | non | non | Question StackExchange, proposition de standard |
/BingSiteAuth.xml
|
? | ? | ? | ? |
/google[0-9a-f]+.html par exemple |
Authentification du propriétaire du site sur les outils Google Webmaster | ? | ? | ? |
/sitemap.xml
|
Liste des pages du site pour faciliter l’indexation par les robots crawleurs | ? | ? | Article Wikipédia |
/.well-known/security.txt
|
Contact de l’équipe Sécurité du site pour signaler une faille de sécurité | oui | RFC 9116, Site officiel, Article Wikipédia |
Reconnaissance pour une possible future attaque d’un logiciel répandu
Le tableau ci-dessous liste des chemins de logiciels répandus que des robots crawleurs malveillants répertorient en vue de l’exploitation d’une future faille impliquant le logiciel.
Autrement dit :
- Si vous n’utilisez ce logiciel, vous pouvez ignorer ces requêtes voire classifier l’IP comme un crawleur malveillant.
- Si vous utilisez ce logiciel, ces URLs sont utilisées par des humains légitimes et des robots crawleurs malveillants qui prennent note que vous utilisez ce logiciel et tenteront peut-être une attaque si (quand) une faille est découverte sur ce logiciel. Vous pouvez, si c’est possible, déplacer ce logiciel sur un chemin non-standard pour le rendre plus furtif (par exemple mettre phpMyAdmin sur /mon-admin-secret/explorateur-sql) (disclaimer : cela ne remplace pas une sécurisation active du logiciel).
URL | Logiciel ciblé |
---|---|
…/wp-login.php
|
WordPress (moteur de blog) |
…/pma/…
|
phpMyAdmin (exploration d’une base de donnée MySQL) |
…/index.php
|
Language PHP |