曾经的百度引擎只要会搜索就会出现无数网站的后台地址,现在只会出现下面这些。
不用robots.txt禁止搜索引擎抓取存在安全隐患?
以上只是js文件而已,根本没必要对用户展示的,如果集中放于某文件夹,再用robots.txt禁止抓去也好。
不用robots.txt禁止搜索引擎抓取存在安全隐患?
许多源码就是这样的,像dz论坛。这个是开源的就算了,想下载就能下载到的,如果是自己开发的,对自己的东西还不熟悉嘛,如果这样做,给别人分析自己的web程序提供了便利,就因为你目录清晰,像admin别人一看就知道是干什么的。
大多数个人那个开发能力,就只是admin.php这样的换个名字,比如zhifubao.php这样,甚至连换个目录,或把目录名改了都做不到,一个改就导致不能用。
而团结开发的,往往都很规范,还是那dz举例,一看目录名和文件名就基本知道是干什么的。
不用robots.txt禁止搜索引擎抓取存在安全隐患?
要知道在web渗透中,随便拿个软件就能探测,罗列出这些文件夹和文件只是入门前的功夫,要是还把重要文件夹放在robots.txt中一目了然,以为能屏蔽抓取,结果方便了别有用心的。
最后的方法其实是改名字为一大串英文字母加数字,不要在前台加什么链到后台的链接,管理员登陆后才有的也不要。
然后来一堆名字与其类似但没有用的文件。
然后不要一进去就说这个是XX后台,改掉。
最好的名字是文章标题,然后全部是文章内容,最下面才是管理员登陆。
就算被搜索引擎抓了,没来的及改地址,别人怎么看都只是一篇文章而已,肯定没想到居然是后台。
这样子基本能防小白。
网友评论