网站建设

简单修复360安全检测提示的发现robots文件漏洞

很久没看过360的站长平台了,于是在360搜索中site了一把,发现居然安全评分是99,而不是100。好奇点进去看了下,发现下面这个大奇葩: 呐尼?发现robots.txt文件?这也算漏洞?继续看了下解释: 漏洞类型: 信息泄露 所属建站程序: 其他 所属服务器类型: 通用 所属编程语言: 其他 描述: 目标WEB站点上发现了robots.txt文件。 1.robots.txt是搜索引擎访问网站的时候要查看的第一个文件。 - 收起 2.robots.txt文件会告诉蜘蛛程序在服务器上什么文件是可以被查看的什么文件是不允许查看的。举一个简单的例子:当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。同时robots.txt是任何人都可公开访问的,恶意攻击者可以通过分析robots.txt的内容,来获取敏感的目录或文件路径等信息。 危害: robots.txt文件有可能泄露系统中的敏感信息,如后台地址或者不愿意对外公开的地址等,恶意攻击者有可能利用这些信息实施进一步的攻击。 解决方案: 1. 确保robots.txt中不包含敏感信息,建议将不希望对外公布的目录或文件请使用权限控制,使得匿名用户无法访问这些信息 2. 将敏感的文件和目录移到另一个隔离的子目录,以便将这个目录排除在Web Robot搜索之外。如将文件移到“folder”之类的非特定目录名称是比较好的解决方案: New directory structure: /folder/passwords.txt/folder/sensitive_folder/ New robots.txt: User-agent: * Disallow: /folder/ 3.     如果您无法更改目录结构,且必须将特定目录排除于 Web Robot 之外,在 robots.txt 文件中,请只用局部名称。虽然这不是最好的解决方案,但至少它能加大完整目录名称的猜测难度。例如,如果要排除“admin”和“manager”,请使用下列名称(假设 Web 根目录中没有起始于相同字符的文件或目录): robots.txt: User-agent: * Disallow: /ad Disallow: /ma 原文地址:http://webscan.360.cn/vul/view/vulid/139 大概是懂了,就是robots会泄漏网站后台或其他敏感地址,我之前遇到不想让人通过robots知道的地址,我也会使用上述解决办法中的第3条,只写局部字符串。 但是,这些完全是掩耳盗铃的做法,明眼人都能轻松识别博客是WordPress还是其他建站程序,什么敏感目录根本没法隐藏,当然隐藏了也没啥用。 不过,看到不是100分就不爽,所以我也掩耳盗铃的解决一下吧! 我的思路很简单,对于非蜘蛛抓取 robots.txt 行为一律返回403,也就是robots.txt 只对蜘蛛开放。实现非常简单,在 Nginx 配置中加入如下代码即可: 加入后reload以下Nginx,然后再到浏览器访问robots地址,应该能看到禁止访问403了。 随即去360扫描了一把,结果并不意外: 哦了,问题就简单的解决了,仅仅只是为了这句“神马黑客都是浮云,网站安全比肩360,实在是给力!”,呵呵呵。。。挡一挡网络上的匿名扫描还行,其他的就真的只是浮云了。
阅读全文
360站长平台移动适配文件制作说明 网站建设

360站长平台移动适配文件制作说明

最新消息:张戈博客已推出全自动生成移动式配专用sitemap的PHP版本,请移步查看=> 前些日子,玛思阁写过一篇《百度开放适配专用sitemap制作说明》的教程,讲解了如何制作百度开放适配专用的sitemap文件。前两天,发现360站长平台也推出了一个相同功能,叫做移动适配。于是将之前我写的百度开放适配制作脚本修改了下,生成了适合360移动适配的文件并提交了,今天看了下效果,发现在360综合搜索移动版已经成功适配玛思阁的手机地址!特来博客分享一下,有手机版的博客不妨仔细看看。 先来张效果截图:   可以看到搜到的结果后面有个手机标志,我特地看了下属性链接,也都是我手机版的链接地址。 再到360站长平台还可以看到如下结果: 说明已适配成功!赞一下360搜索的做事效率和亲民!不像蛋疼的百度,已提交近半个月,没一点动静,你牛B! 下面分享下在360站长平台提交移动适配文件的全过程(非常简单!): ① 打开提交地址:http://zhanzhang.so.com/index.php?m=Urlmap&a=submit ,并选择提交站点; ② 制作专用对应关系文件: 玛思阁选择了第一个移动适配方法:   根据以上说明,很容易就得出玛思阁需要提交的txt文件格式如下: 保存为sitemap_sp.txt上传到网站根目录。点击预览: http://zhangge.net/sitemap_sp.txt ③ 到提交页面填写文件地址提交即可。 从上面的过程,可以看出360的适配格式比百度简单得多,只要将PC版和手机版对应地址用tab隔开即可,一个地址占一行!所以,有兴趣的站长可以手动填写几行先测试测试效果,想一次性提交的请往下看! 博主才懒得手动去编写这个文件,文章+分类+页面都近200条数据,全部手动?苦逼大叔么? 于是,我将之前百度适配文件制作脚本简单修改了下,凑合用用: 使用方法: ① 复制以上代码保存为run.bat文件; ② 浏览器打开你的博客的sitemap.xml,复制全部内容到记事本,然后保存为sitemap.xml,放到和脚本同一目录,执行脚本即可生成可提交的sitemap_sp.txt文件。最后丢到网站根目录,然后去360站长提交这个文件的地址即可。大概3天左右会出结果! 由于复制代码可能出现各种蛋疼转格式的问题,导致tab字符输出错误,所以请点击下面的地址下载: 篇后语:郁闷的是,博主这个PHP门外行尝试了多次用PHP来制作,都没成功。。。一股很强烈的挫败感袭上心头。。。其实,会写php的话,真的非常简单,包括之前的百度适配,都能简单搞定,而且还能弄个定制器自动生成呢!会PHP的博友,比如夏日博客、PHP二次开发等博友,赶紧写一个造福大家吧!!!!
阅读全文