本文較為詳細的講述了robots.txt向黑客泄露了網站的后臺和隱私的危險。分享給大家供大家參考。具體分析如下:
也許很多小伙伴站長們還有疑問為啥自己的網站后臺更改名字了或者老是被爆(bao)破(ju),小生不才,青蔥年少時從hacker中摸爬滾打到熱衷于php下面就就簡單的給大家解析一下這里面的門道。
1.網站系統后臺 - 大部分開源系統的后臺都是以(admin)文件夾為后臺在其官網都會開放出來讓用戶知曉,這樣黑客們爆破你的后臺就是技術問題而已了,所以大多數人都會修改掉網站后臺的文件夾名字,不多說。所以一般不修改后臺地址使用默認的被爆都是自找的怪不了誰。
2.黑客通過度娘and谷姐輸入關鍵字搜索后臺地址,因為搜索引擎會把用戶所有默認目錄和隱私文件目錄通通收錄下來,因為是機器嘛,所以不能有多人性化啦。
了解到黑客能訪問到你的網站后臺的兩種渠道后就要說道robots.txt了。
什么是robots.txt?為了不讓搜索引擎索引網站的后臺頁面或其它隱私頁面,我們將這些路徑在robots.txt文件中禁用了。但矛盾的是,robots.txt文件任何人都可以訪問,包括黑客。為了防搜索引擎,我們把隱私泄露給了黑客。
robots.txt干什么的?robots.txt基本上每個網站都用,而且放到了網站的根目錄下,任何人都可以直接輸入路徑打開并查看里面的內容,如:http://www.baidu.com/robots.txt。該文件用于告訴搜索引擎,哪些頁面可以去抓取,哪些頁面不要抓取。一般而言,搜索引擎都會遵循這個規律。
robots.txt如何使用?在網站根目錄下創建一個文件,取名robots.txt,文件名必須是這個!然后設置里面的規則。比如我有一個OA辦公系統,我要設置不允許任何搜索引擎收錄本站。robots.txt中就設置如下兩行即可。
User-agent: *
Disallow: /
如果要限制不讓搜索引擎訪問我們后臺admin目錄,則規則改為:
User-agent: *
Disallow: /admin/
robots.txt更多的使用規則,不在本文的討論范圍之內。
robots.txt如何防黑客?像上面的例子中,我們為了讓搜索引擎不要收錄admin頁面而在robots.txt里面做了限制規則。但是這個robots.txt頁面,誰都可以看,于是黑客就可以比較清楚的了解網站的結構,比如admin目錄啊、include目錄啊等等。
有沒有辦法既可以使用robots.txt的屏蔽搜索引擎訪問的功能,又不泄露后臺地址和隱私目錄的辦法呢?有,那就是使用星號(*)作為通配符。舉例如下:
User-agent:
Disallow: /a*/
這個設置,禁止所有的搜索引擎索引根目錄下a開頭的目錄。當然如果你后臺的目錄是admin,還是有可以被人猜到,但如果你再把admin改為admmm呢?還有會誰能知道?總結下,為了不讓搜索引擎索引網站的后臺目錄或其它隱私目錄,我們將這些路徑在robots.txt文件中禁用了。又為了讓robots.txt中的內容不泄露網站的后臺和隱私,我們使用星號(*)來修改設置項。最后為了不讓黑客猜到真實的路徑,我們可以把這些敏感的目錄進行非常規的重命名。
好了,關于robots.txt與網站隱私,就介紹這么多,希望本文所述對大家的WEB網站安全建設有所幫助。
