目录
信息泄露的内容
robots.txt/sercert.txt等文件泄漏
- 描述
搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。
- 方法
手工挖掘,直接在域名后输入/robots.txt进行查看。
/flag.txt; /sercret.txt ; /fuzz.txt 等等
- 修复建议
可根据实际情况,进行如下对应的修复:
1、 User-agent: * 这里的*代表的所有的搜索引擎种类,*是一个通配符
2、 Disallow: / 这里定义是禁止爬寻站点所有的内容