浅谈“Robots文件信息泄露”

最新推荐文章于 2024-04-01 14:36:51 发布
最新推荐文章于 2024-04-01 14:36:51 发布
阅读量3.2k 收藏 6
点赞数 1
分类专栏: Web安全之信息泄露类
原文链接:www.zbd.com
版权

一:漏洞名称:

Robots文件信息泄露、Robots.txt泄露

描述:

搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。

检测条件:

Web业务运行正常。

Web中存储敏感的robots文件。

检测方法:

  1. 检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到robots文件,
  2. 手工挖掘,直接在域名后输入/robots.txt进行查看。

漏洞修复:

安全建议或者修复方案:(可根据实际情况,进行如下对应的修复)

  1. User-agent: * 这里的*代表的所有的搜索引擎种类,*是一个通配符
  2. Disallow: / 这里定义是禁止爬寻站点所有的内容
  3. Disallow: /admin/ 这里定义是禁止爬寻admin目录下面的目录
  4. Disallow: /ABC/ 这里定义是禁止爬寻ABC目录下面的目录
  5. Disallow: /cgi-bin/*.htm 禁止访问/cgi-bin/目录下的所有以".htm"为后缀的URL(包含子目录)。
  6. Disallow: /*?* 禁止访问网站中所有包含问号 (?) 的网址
  7. Disallow: /.jpg$ 禁止抓取网页所有的.jpg格式的图片
  8. Disallow:/ab/adc.html 禁止爬取ab文件夹下面的adc.html文件。
  9. Allow: /cgi-bin/ 这里定义是允许爬寻cgi-bin目录下面的目录
  10. Allow: /tmp 这里定义是允许爬寻tmp的整个目录
  11. Allow: .htm$ 仅允许访问以".htm"为后缀的URL。
  12. Allow: .gif$ 允许抓取网页和gif格式图片
  13. Sitemap: 网站地图 告诉爬虫这个页面是网站地图。

其他补充说明:

来自:robots协议Disallow和Allow后带斜杠/和不带的区别

1、 User-Agent

User-Agent是指定搜索引擎种类的,且User-Agent:后面要有一个空格。

如果只想指定百度搜索引擎,就这样写

Markup

User-Agent: Baiduspider

如果既想指定百度,又想指定谷歌,就像这样写

Markup

User-Agent: Baiduspider
User-Agent: Googlebot

如果还要指定其他搜索引擎,直接再添加一条User-Agent记录,但想指定多个则继续添加多个User-Agent记录,可这样重复添加显得很繁琐,遇见这种情况,我们只需要用星号*代替,就可以表示指定所有搜索引擎,这样我们就只需要写一条记录即可,写法如下:

Markup

User-Agent: *

2、Disallow

Disallow用来说明不允许搜索引擎蜘蛛抓取的URL路径。

例如:Disallow: /index.php 禁止搜索引擎抓取index.php文件

3、Allow

Allow用来说明允许搜索引擎蜘蛛爬行的URL路径

例如:Allow: /index.php 允许搜索引擎抓取index.php文件

4、通配符*

用星号*来做通配符,表示0个或任意多个字符!

例如:Disallow: /*.jpg 网站所有的jpg文件被禁止抓取。

5、结束符$

用美元符号$来做结束符,表示以它前面的字符为结束的url。

例如:

Disallow: /?$   禁止抓取所有以问号?结尾的文件;

Allow: .html$  允许抓取所有以.html为后缀的文件。

注意事项:

一、在“/robots.txt”文件中,至少要有一条Disallow记录,允许收录优先级要高于禁止收录.

例如,我们希望所有搜索引擎只抓取a目录下的b.html这个页面,但在a目录下除b.html以外的所有文件和页面都被禁止抓取,写法如下:

Markup

User-agent: *
Allow: /a/b.htm
Disallow: /a/

以上协议规则表示所有搜索引擎可以抓取a目录下b.htm,该a目录下其他文件都被禁止

二、重点:robots.txt文件屏蔽目录带不带/斜杠的区别 :

首先,我们来看下面两条记,一个带斜杠/,而另一个不带斜杠:

Markup

Disallow: /admin
Disallow: /admin/

根据robots协议写法规范,区别如下:

1、不带/斜杠的Disallow: /admin表示屏蔽admin这个名字开头的所有目录。如:/admin1、/admin2、/admina或者/admin/以下的所有目录都是被屏蔽的。

2、带/斜杠的Disallow: /admin/表示屏蔽/admin/这个目录下的所以内容。如:/admin/abc、/admin/gsd/或者是/admin/4gy6/1df等,/admin/以下的目录都是被屏蔽的。但是它并不屏蔽本目录的内容,如:/admin还是允许抓取的。

 

 

红烧兔纸
关注
专栏目录
robots.txt 泄漏敏感信息
Sumarua的博客
02-08 3282
搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。
Robots.txt泄露敏感信息
zHx981的博客
01-04 3800
Robots.txt泄露敏感信息 首先robots是什么? Robots是网址和爬虫之间的协议,网站通过robots协议(robots.txt)来告诉搜索引擎哪些页面可以进行抓取。 搜索蜘蛛在访问一个网站时,会首先检查站点跟目录下是否存在robots.txt,之后按照文件中的内容规定来确定访问的范围。 Robots.txt 泄露敏感信息的原因是什么? robots.txt文件本身没有什么漏洞,她是告诉搜索引擎蜘蛛哪些文件可以爬行,哪些不可以爬行。而我们一般在写robots.txt文件的时候,为了防止搜索引擎
robots.txt文件信息泄漏
fansenliangren的博客
11-21 2565
搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。robots.txt文件可能会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。
检测到目标网站robots文件网站结构信息泄露
11-04 1165
检测到目标网站robots文件网站结构信息泄露 信息泄露信息泄露 低 1 查看 漏洞URL: http://www.iotsoft.tk/ 详细描述: robots文件位于网站根目录下,用于标识网站的某些资源是否允许爬虫工具访问。用Allow表示爬虫工具可访问的资源,用Disallow表示爬虫工具不应该访问的资源。 但同时该文件说明了目标网站...
robots.txt 向黑客泄露了网站的后台和隐私
龚清林的博客
08-01 6651
前几天有朋友在网站通过聊天窗口问红涛,有什么什么办法阻止搜索引擎的收录,因为自己网站上面有的东西不想被搜索引擎收录。其实是可以实现的,在这里就有必要好好介绍一下robots.txt文件,因为通过这个robots.txt全完可以实现搜索引擎收录的问题。  其实不管是企业网站还是门户网站,上面都会有些资料是保密而不对外公开的。怎么样做到不对外公开呢?唯一的保密的措施就是不让搜索引擎来搜录这些信息。这 样
Robots文件信息泄露 原理以及修复方法
it知识分享 free for nothing..
04-01 940
Robots文件信息泄露 原理以及修复方法
网络爬虫引发的问题及robots协议说明
qq_44004117的博客
03-05 728
1、骚扰问题 网络爬虫会占用网站服务器资源。 2、法律风险 根据robots协议网页里的某些信息是不能被爬取的,否则将产生法律风险。 3、隐私泄露 网络爬虫可以获得用户设置的密码信息,这样个人隐私就存在被泄露的风险。 总结: 在进行网络爬虫时,我们有必要了解网站的robots协议,如: https://www.jd.com/robots.txt 上图中* 表示对所有的访问者。...
易优cms robots文件生成器插件.zip
09-04
在SEO优化方面,robots.txt文件扮演着至关重要的角色,它是搜索引擎爬虫访问网站时首先查看的文件,用于告知爬虫哪些页面可以抓取,哪些应禁止抓取。"易优cms robots文件生成器插件"就是为了方便用户自定义和管理这...
帝国CMS中robots.txt文件用法
09-29
例如,`/e/class/`、`/e/data/`、`/e/enews/`和`/e/update/`通常是帝国CMS的系统文件或数据库相关目录,这些地方存储了网站的重要配置和用户数据,因此需要被排除在搜索引擎的抓取范围之外,以防止敏感信息泄露。...
易优robots文件生成器插件.zip
12-27
"易优robots文件生成器插件.zip"是一个针对易优CMS的辅助工具,主要用于帮助用户自动生成并管理网站的robots.txt文件robots.txt文件是网站与搜索引擎爬虫之间的协议,它告诉爬虫哪些页面可以访问,哪些应该被...
robots文件.docx
09-26
例如,如果网站包含敏感信息或测试页面,可以通过 `robots.txt` 文件将其隐藏起来。 2. **robots.txt 文件位置** 正确放置 `robots.txt` 文件的位置至关重要,它应当存在于网站的顶级域名的根目录下,如 `...
网络爬虫排除协议robots.txt介绍及写法详解.
xge的专栏
09-16 3847
以上内容转载自:www.xgezhang.com Robots协议的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),它的功能是通过Robots文件告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,抓取的标准等。它以一个文本文件的形式放在网站的根目录中,用任何一个常见的文本编辑器都可以对其进行修改和编辑。对于站长来说,合理的书写robots.txt文
disallow php,在robots.txt中Disallow: /abc和Disallow: /abc/的区别
weixin_35626308的博客
04-01 988
站长:不就是多了条斜杠吗,能有多大不同?小编:很多新手站长搞不明白这其中的作用,其实作用区别很大的呦。Disallow: /abc表示禁止蜘蛛索引网站根目录下所有以abc开头的文件夹和文件举例:/abc.html/abcde.php/abc/123.html/abc/def/123.html/abc/def//abcde/abc/等文件均不可索引,也就是说只要在网站根目录下以abc开头就禁止蜘蛛索...
robots 协议介绍
冻梨不是梨的博客
08-29 2418
robots.txt怎么写   1、允许所有搜索引擎访问   User-agent: *   Disallow:   或者   User-agent: *   Allow: /   在这里大家要注意下,可以最直接的建一个空文件robots.txt”然后放到网站的根目录。   2、禁止所有搜索引擎访问   User-agent: *   Disallow: /   或者   User-agent...
爬虫协议robots
weixin_33716941的博客
07-14 308
前面的话   Robots协议(也称为爬虫协议、机器人协议等)全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。本文将详细介绍爬虫协议robots   概述   robots.txt文件是一个文本文件,是搜索引擎中访问网站的时候要查看的第一个文件robots.txt文件告诉蜘蛛程序在服...
robots.txt文件的Disallow和Allow行的区别
weixin_33937913的博客
06-18 3246
2019独角兽企业重金招聘Python工程师标准>>> ...
web渗透--55--HTML注入
武天旭的博客
09-23 3013
1、漏洞描述 HTML注入是注入问题的一种类型,它发生在当用户可以控制输入点,并且能够注入任意HTML代码到有漏洞的web页面时。 这个漏洞会造成很多影响,比如用户会话cookie公开,可以被用于冒充受害者,也可以使得让攻击者修改它看到的受害者的页面内容。 当用户输入未经过正确的过滤以及输出没有经过编码的情况下,漏洞就会发生。注入允许攻击者发送恶意HTML页面给受害者。目标浏览器无法区分和信任合法代码的恶意部分,并在受害者背景下解析和执行所有的合法代码。
网站优化之robots文件详解
南昌SEO
08-18 788
SEO不难,难的的坚持SEO下去,SEO在于细节的把握,今天就给大家讲一讲比较实用的SEO技巧之robots.txt文件。首先,在我们写robots之前,我们必须要知道,我们为什么要写它,这才是问题的核心,千万不要因为别人也写了你就也去效仿。robots,人称“君子协议”,是网站和搜索引擎之间的协议,搜索引擎在爬行到你网站时会第一时间爬行到这个文件,然后会根据你写的协议进行爬行和抓取。但是有时候,
robots.txt泄露敏感信息
最新发布
04-24
当网站使用robots.txt文件时,它可以用来指示搜索引擎爬虫哪些页面可以被访问或不被访问。然而,如果robots.txt文件被错误地配置或者包含敏感信息,可能会导致敏感信息泄露的风险。 以下是一些可能导致robots.txt泄露敏感信息的情况: 1. 指示搜索引擎不访问敏感页面的错误配置:如果网站管理员错误地配置了robots.txt文件,可能会导致搜索引擎无意间访问到敏感页面,从而泄露敏感信息。 2. 明确列出敏感目录或文件:如果robots.txt文件明确列出了敏感目录或文件,并且搜索引擎遵循了这些指示,那么攻击者可能会通过查看robots.txt文件来获取敏感信息。 3. 误将敏感信息放在robots.txt文件中:有时候,网站管理员可能会错误地将敏感信息放在robots.txt文件中,这样一来,搜索引擎爬虫在遵循robots.txt指示时就会获取到这些敏感信息。 为了防止robots.txt泄露敏感信息,以下是一些建议: 1. 审查和测试robots.txt文件:确保正确配置了robots.txt文件,并且没有包含任何敏感信息。 2. 不要明确列出敏感目录或文件:避免在robots.txt文件中明确列出敏感目录或文件,以防止攻击者获取到这些信息。 3. 将敏感信息放在其他安全的位置:如果有必要,将敏感信息放在其他安全的位置,而不是放在robots.txt文件中。 4. 定期审查和更新:定期审查和更新robots.txt文件,以确保其中不包含任何过时或不必要的信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值