URLs standards
De Wiki privé de démonstration – Wiki Valley
La liste ci-dessous est un recensement non exhaustif d’URLs standards ou courantes, par exemple /favicon.ico ou /.well-known/…
Lorsqu’on héberge un site, il faut s’attendre à recevoir des requêtes vers ces URLs standards (la fréquence dépendant de la popularité du standard).
Pour les nombreuses URLs commençant par /.well-known, voir le registre IANA et l’article Wikipédia en anglais.
| URL | Fonctionnalité | Standard ? | Fréquence | Documentation |
|---|---|---|---|---|
/favicon.ico
|
Icône de signet/onglet… | Très courant. Est-ce standard ? | Très répandu | Article Wikipédia |
/robots.txt
|
Instructions pour les robots crawleurs | non, de facto | Très répandu | Article Wikipédia, robotstxt.org, robots-txt.com |
/ads.txt
|
? | ? | ? | Article Wikipédia en anglais |
/apple-touch-icon.png
|
? | ? | ? | ? |
/.well-known/
|
Chemin prévu pour éviter l’accumulation de fichiers "système" à la racine d’un site Web (/robots.txt, /favicon.ico, …) et éviter de polluer l’espace de nommage du site | oui | de plus en plus fréquent | RFC 5785, Registre IANA, Article Wikipédia en anglais |
/.well-known/acme-challenge/{token}
|
Authentification du domaine par Let’s Encrypt | oui | Utilisé de façon très temporaire lorsque le site utilise Let’s Encrypt | RFC 8555 |
/.well-known/traffic-advice
|
Similaire à /robots.txt pour les logiciels préchargeant (prefetching) des ressources | non | non | Question StackExchange, proposition de standard |
/BingSiteAuth.xml
|
? | ? | ? | ? |
/google[0-9a-f]+.htmlpar exemple |
Authentification du propriétaire du site sur les outils Google Webmaster | ? | ? | ? |
/sitemap.xml
|
Liste des pages du site pour faciliter l’indexation par les robots crawleurs | ? | ? | Article Wikipédia |
/.well-known/security.txt
|
Contact de l’équipe Sécurité du site pour signaler une faille de sécurité | oui | RFC 9116, Site officiel, Article Wikipédia |
Reconnaissance pour une possible future attaque d’un logiciel répandu
Le tableau ci-dessous liste des chemins de logiciels répandus que des robots crawleurs malveillants répertorient en vue de l’exploitation d’une future faille impliquant le logiciel.
Autrement dit :
- Si vous n’utilisez ce logiciel, vous pouvez ignorer ces requêtes, voire classifier l’IP comme un crawleur malveillant.
- Si vous utilisez ce logiciel, ces URLs sont utilisées par des humains légitimes et des robots crawleurs malveillants qui prennent note que vous utilisez ce logiciel et tenteront peut-être une attaque si (quand) une faille est découverte sur ce logiciel. Vous pouvez, si c’est possible, déplacer ce logiciel sur un chemin non standard pour le rendre plus furtif (par exemple mettre phpMyAdmin sur /mon-admin-secret/explorateur-sql) (disclaimer : cela ne remplace pas une sécurisation active du logiciel).
| URL | Logiciel ciblé |
|---|---|
…/wp-login.php
|
WordPress (moteur de blog) |
…/pma/…
|
phpMyAdmin (exploration d’une base de donnée MySQL) |
…/index.php
|
Language PHP |
