本文較為詳細(xì)的講述了robots.txt向黑客泄露了網(wǎng)站的后臺和隱私的危險����。分享給大家供大家參考。具體分析如下:
也許很多小伙伴站長們還有疑問為啥自己的網(wǎng)站后臺更改名字了或者老是被爆(bao)破(ju)�,小生不才,青蔥年少時從hacker中摸爬滾打到熱衷于php下面就就簡單的給大家解析一下這里面的門道����。
1.網(wǎng)站系統(tǒng)后臺 - 大部分開源系統(tǒng)的后臺都是以(admin)文件夾為后臺在其官網(wǎng)都會開放出來讓用戶知曉���,這樣黑客們爆破你的后臺就是技術(shù)問題而已了,所以大多數(shù)人都會修改掉網(wǎng)站后臺的文件夾名字��,不多說���。所以一般不修改后臺地址使用默認(rèn)的被爆都是自找的怪不了誰����。
2.黑客通過度娘and谷姐輸入關(guān)鍵字搜索后臺地址���,因為搜索引擎會把用戶所有默認(rèn)目錄和隱私文件目錄通通收錄下來��,因為是機(jī)器嘛���,所以不能有多人性化啦。
了解到黑客能訪問到你的網(wǎng)站后臺的兩種渠道后就要說道robots.txt了���。
什么是robots.txt�����?為了不讓搜索引擎索引網(wǎng)站的后臺頁面或其它隱私頁面����,我們將這些路徑在robots.txt文件中禁用了�����。但矛盾的是����,robots.txt文件任何人都可以訪問��,包括黑客����。為了防搜索引擎����,我們把隱私泄露給了黑客��。
robots.txt干什么的�?robots.txt基本上每個網(wǎng)站都用,而且放到了網(wǎng)站的根目錄下���,任何人都可以直接輸入路徑打開并查看里面的內(nèi)容��,如:http://www.baidu.com/robots.txt��。該文件用于告訴搜索引擎�,哪些頁面可以去抓取,哪些頁面不要抓取���。一般而言��,搜索引擎都會遵循這個規(guī)律�。
robots.txt如何使用��?在網(wǎng)站根目錄下創(chuàng)建一個文件�,取名robots.txt,文件名必須是這個�!然后設(shè)置里面的規(guī)則。比如我有一個OA辦公系統(tǒng)����,我要設(shè)置不允許任何搜索引擎收錄本站。robots.txt中就設(shè)置如下兩行即可����。
User-agent: *
Disallow: /
如果要限制不讓搜索引擎訪問我們后臺admin目錄���,則規(guī)則改為:
User-agent: *
Disallow: /admin/
robots.txt更多的使用規(guī)則,不在本文的討論范圍之內(nèi)��。
robots.txt如何防黑客�?像上面的例子中�����,我們?yōu)榱俗屗阉饕娌灰珍沘dmin頁面而在robots.txt里面做了限制規(guī)則�����。但是這個robots.txt頁面�����,誰都可以看���,于是黑客就可以比較清楚的了解網(wǎng)站的結(jié)構(gòu),比如admin目錄啊�、include目錄啊等等�。
有沒有辦法既可以使用robots.txt的屏蔽搜索引擎訪問的功能����,又不泄露后臺地址和隱私目錄的辦法呢?有�����,那就是使用星號(*)作為通配符��。舉例如下:
User-agent:
Disallow: /a*/
這個設(shè)置��,禁止所有的搜索引擎索引根目錄下a開頭的目錄��。當(dāng)然如果你后臺的目錄是admin����,還是有可以被人猜到�����,但如果你再把a(bǔ)dmin改為admmm呢?還有會誰能知道�����?總結(jié)下���,為了不讓搜索引擎索引網(wǎng)站的后臺目錄或其它隱私目錄�,我們將這些路徑在robots.txt文件中禁用了���。又為了讓robots.txt中的內(nèi)容不泄露網(wǎng)站的后臺和隱私,我們使用星號(*)來修改設(shè)置項����。最后為了不讓黑客猜到真實的路徑,我們可以把這些敏感的目錄進(jìn)行非常規(guī)的重命名����。
好了,關(guān)于robots.txt與網(wǎng)站隱私���,就介紹這么多�,希望本文所述對大家的WEB網(wǎng)站安全建設(shè)有所幫助�。
