网站运营 
首页 > 网站运营 > 浏览文章

当心robots.txt向黑客泄露了网站的后台和隐私

(编辑:jimmy 日期: 2024/12/24 浏览:3 次 )

本文较为详细的讲述了robots.txt向黑客泄露了网站的后台和隐私的危险。分享给大家供大家参考。具体分析如下:

也许很多小伙伴站长们还有疑问为啥自己的网站后台更改名字了或者老是被爆(bao)破(ju),小生不才,青葱年少时从hacker中摸爬滚打到热衷于php下面就就简单的给大家解析一下这里面的门道。

1.网站系统后台 - 大部分开源系统的后台都是以(admin)文件夹为后台在其官网都会开放出来让用户知晓,这样黑客们爆破你的后台就是技术问题而已了,所以大多数人都会修改掉网站后台的文件夹名字,不多说。所以一般不修改后台地址使用默认的被爆都是自找的怪不了谁。

2.黑客通过度娘and谷姐输入关键字搜索后台地址,因为搜索引擎会把用户所有默认目录和隐私文件目录通通收录下来,因为是机器嘛,所以不能有多人性化啦。

了解到黑客能访问到你的网站后台的两种渠道后就要说道robots.txt了。

什么是robots.txt?为了不让搜索引擎索引网站的后台页面或其它隐私页面,我们将这些路径在robots.txt文件中禁用了。但矛盾的是,robots.txt文件任何人都可以访问,包括黑客。为了防搜索引擎,我们把隐私泄露给了黑客。

robots.txt干什么的?robots.txt基本上每个网站都用,而且放到了网站的根目录下,任何人都可以直接输入路径打开并查看里面的内容,如:http://www.baidu.com/robots.txt。该文件用于告诉搜索引擎,哪些页面可以去抓取,哪些页面不要抓取。一般而言,搜索引擎都会遵循这个规律。

robots.txt如何使用?在网站根目录下创建一个文件,取名robots.txt,文件名必须是这个!然后设置里面的规则。比如我有一个OA办公系统,我要设置不允许任何搜索引擎收录本站。robots.txt中就设置如下两行即可。

复制代码代码如下:User-agent: *
Disallow: /
如果要限制不让搜索引擎访问我们后台admin目录,则规则改为:

复制代码代码如下:User-agent: *
Disallow: /admin/
robots.txt更多的使用规则,不在本文的讨论范围之内。

robots.txt如何防黑客?像上面的例子中,我们为了让搜索引擎不要收录admin页面而在robots.txt里面做了限制规则。但是这个robots.txt页面,谁都可以看,于是黑客就可以比较清楚的了解网站的结构,比如admin目录啊、include目录啊等等。

有没有办法既可以使用robots.txt的屏蔽搜索引擎访问的功能,又不泄露后台地址和隐私目录的办法呢?有,那就是使用星号(*)作为通配符。举例如下:

复制代码代码如下:User-agent:
Disallow: /a*/
这个设置,禁止所有的搜索引擎索引根目录下a开头的目录。当然如果你后台的目录是admin,还是有可以被人猜到,但如果你再把admin改为admmm呢?还有会谁能知道?总结下,为了不让搜索引擎索引网站的后台目录或其它隐私目录,我们将这些路径在robots.txt文件中禁用了。又为了让robots.txt中的内容不泄露网站的后台和隐私,我们使用星号(*)来修改设置项。最后为了不让黑客猜到真实的路径,我们可以把这些敏感的目录进行非常规的重命名。

好了,关于robots.txt与网站隐私,就介绍这么多,希望本文所述对大家的WEB网站安全建设有所帮助。

上一篇:网站加速哪家强?四大免费CDN服务评测大PK
下一篇:这15个免费学习网站 每一个站长都应知道
一句话新闻
一文看懂荣耀MagicBook Pro 16
荣耀猎人回归!七大亮点看懂不只是轻薄本,更是游戏本的MagicBook Pro 16.
人们对于笔记本电脑有一个固有印象:要么轻薄但性能一般,要么性能强劲但笨重臃肿。然而,今年荣耀新推出的MagicBook Pro 16刷新了人们的认知——发布会上,荣耀宣布猎人游戏本正式回归,称其继承了荣耀 HUNTER 基因,并自信地为其打出“轻薄本,更是游戏本”的口号。
众所周知,寻求轻薄本的用户普遍更看重便携性、外观造型、静谧性和打字办公等用机体验,而寻求游戏本的用户则普遍更看重硬件配置、性能释放等硬核指标。把两个看似难以相干的产品融合到一起,我们不禁对它产生了强烈的好奇:作为代表荣耀猎人游戏本的跨界新物种,它究竟做了哪些平衡以兼顾不同人群的各类需求呢?
友情链接:杰晶网络 DDR爱好者之家 南强小屋 黑松山资源网 白云城资源网 网站地图 SiteMap