URLs standards

De Wiki privé de démonstration – Wiki Valley
Aller à :navigation, rechercher

La liste ci-dessous est un recensement non-exhaustif d’URLs standards ou courantes, par exemple /favicon.ico ou /.well-known/…

Lorsqu’on héberge un site, il faut s’attendre à reçevoir des requêtes vers ces URLs standards (la fréquence dépendant de la popularité du standard).

Pour les nombreuses URLs commençant par /.well-known, voir le registre IANA et l’article Wikipédia en anglais.


URL Fonctionnalité Standard ? Fréquence Documentation
/favicon.ico Icône de signet/onglet… Très courant. Est-ce standard ? Très répandu Article Wikipédia
/robots.txt Instructions pour les robots crawleurs non, de facto Très répandu Article Wikipédia, robotstxt.org, robots-txt.com
/ads.txt ? ? ? Article Wikipédia en anglais
/apple-touch-icon.png

/apple-touch-icon-precomposed.png
/apple-touch-icon-120x120.png

? ? ? ?
/.well-known/ Chemin prévu pour éviter l’accumulation de fichiers "système" à la racine d’un site Web (/robots.txt, /favicon.ico, …) et éviter de polluer l’espace de nommage du site oui de plus en plus fréquent RFC 5785, Registre IANA, Article Wikipédia en anglais
/.well-known/acme-challenge/{token} Authentification du domaine par Let’s Encrypt oui Utilisé de façon très temporaire lorsque le site utilise Let’s Encrypt RFC 8555
/.well-known/traffic-advice Similaire à /robots.txt pour les logiciels préchargeant (prefetching) des ressources non non Question StackExchange, proposition de standard
/BingSiteAuth.xml ? ? ? ?
/google[0-9a-f]+.html

par exemple /google73042039e82fa9283.html

Authentification du propriétaire du site sur les outils Google Webmaster ? ? ?
/sitemap.xml Liste des pages du site pour faciliter l’indexation par les robots crawleurs ? ? Article Wikipédia
/.well-known/security.txt

/security.txt

Contact de l’équipe Sécurité du site pour signaler une faille de sécurité oui RFC 9116, Site officiel, Article Wikipédia

Reconnaissance pour une possible future attaque d’un logiciel répandu

Le tableau ci-dessous liste des chemins de logiciels répandus que des robots crawleurs malveillants répertorient en vue de l’exploitation d’une future faille impliquant le logiciel.

Autrement dit :

  • Si vous n’utilisez ce logiciel, vous pouvez ignorer ces requêtes voire classifier l’IP comme un crawleur malveillant.
  • Si vous utilisez ce logiciel, ces URLs sont utilisées par des humains légitimes et des robots crawleurs malveillants qui prennent note que vous utilisez ce logiciel et tenteront peut-être une attaque si (quand) une faille est découverte sur ce logiciel. Vous pouvez, si c’est possible, déplacer ce logiciel sur un chemin non-standard pour le rendre plus furtif (par exemple mettre phpMyAdmin sur /mon-admin-secret/explorateur-sql) (disclaimer : cela ne remplace pas une sécurisation active du logiciel).
URL Logiciel ciblé
…/wp-login.php WordPress (moteur de blog)
…/pma/…

…/phpmyadmin/…

phpMyAdmin (exploration d’une base de donnée MySQL)
…/index.php

…/*.php

Language PHP