简单修复360安全检测提示的发现robots文件漏洞 | 张戈博客

  • 时间:
  • 浏览:3

刚刚 没看多360 的站长平台了,于是在360 搜索中site了一把,发现岂也有安全评分是99,而也有60 。好奇点进去看多下,发现下面这名 大奇葩:

呐尼?发现robots.txt文件?这也算漏洞?继续看多下解释:

漏洞类型:
信息泄露
所属建站系统程序运行运行:
或多或少
所属服务器类型:
通用
所属编程语言:
或多或少
描述:
目标WEB站点上发现了robots.txt文件。

1.robots.txt是搜索引擎访问网站的事不能自己查看的第有有1个多 文件。

– 收起

2.robots.txt文件会告诉蜘蛛系统程序运行运行在服务器上有哪些文件是还不能被查看的有哪些文件是不允许查看的。举有有1个多 简单的例子:当有有1个多 搜索蜘蛛访问有有1个多 站点时,它会首先检查该站点根目录下是与非 存robots.txt,肯能地处,搜索机器人就会按照该文件中的内容来选则访问的范围;肯能该文件不地处,所有的搜索蜘蛛将不能访问网站上所有不能自己 被口令保护的页面。同时robots.txt是任何人都可公开访问的,恶意攻击者还不能通过分析robots.txt的内容,来获取敏感的目录或文件路径等信息。

危害:
robots.txt文件有肯能泄露系统中的敏感信息,如后台地址肯能不需要我对外公开的地址等,恶意攻击者有肯能利用有有哪些信息实施进一步的攻击。
解决方案:
1. 确保robots.txt中不含有 敏感信息,建议将不希望对外表态 的目录或文件请使用权限控制,使得匿名用户无法访问有有哪些信息

2. 将敏感的文件和目录移到从前隔离的子目录,以便将这名 目录排除在Web Robot搜索之外。如将文件移到“folder”类式的非特定目录名称是比较好的解决方案: New directory structure: /folder/passwords.txt/folder/sensitive_folder/

New robots.txt: User-agent: * Disallow: /folder/

3.     肯能您无法更改目录形态,且需要将特定目录排除于 Web Robot 之外,在 robots.txt 文件中,请只用局部名称。真是这也有最好的解决方案,但合适它能加大全版目录名称的猜测难度。类式,肯能要排除“admin”和“manager”,请使用下列名称(假设 Web 根目录中不能自己 起开始英文英文相同字符的文件或目录): robots.txt:

User-agent: *

Disallow: /ad

Disallow: /ma

原文地址:http://webscan.360 .cn/vul/view/vulid/139

合适是懂了,好多好多 robots会泄漏网站后台或或多或少敏感地址,我事先遇到要我要我通过robots知道的地址,我也会使用上述解决依据 中的第3条,只写局部字符串。

好多好多 ,有有哪些完也有掩耳盗铃的做法,明眼人都能轻松识别博客是WordPress还是或多或少建站系统程序运行运行,有哪些敏感目录根本不能自己 隐藏,当然隐藏了也没啥用。

不过,看多也有60 分就不爽,好多好多 我也掩耳盗铃的解决一下吧!

我的思路很简单,对于非蜘蛛抓取 robots.txt 行为一律返回403,也好多好多 robots.txt 只对蜘蛛开放。实现非常简单,在 Nginx 配置中加入如下代码即可:

#肯能请求的是robots.txt,好多好多



匹配到了蜘蛛,则返回403
location = /robots.txt { 
    if ($http_user_agent !~* "spider|bot|Python-urllib|pycurl") {
        return 403;
    }
}

加入后reload以下Nginx,好多好多 再到浏览器访问robots地址,应该能看多禁止访问403了。

随即去360 扫描了一把,结果无须意外:

哦了,大问题就简单的解决了,仅仅好多好多 为了这句“神马黑客也有浮云,网站安全比肩360 ,真是是给力!”,呵呵呵。。。挡一挡网络上的匿名扫描还行,或多或少的就真的好多好多 浮云了。