此地?zé)o銀三百兩~~~~~
漏洞描述
許多網(wǎng)站和企業(yè)使用robots.txt文件來設(shè)置某些文件不允許蜘蛛索引姜挺,但卻沒有想到卻將這些秘密的文件告訴了他們的競爭者当凡。因為人們在創(chuàng)建robots.txt文件的時候只是想如果蜘蛛不能索引他們烘挫,那么人們也就不能搜索到它們恳邀。但是當(dāng)你將這些文件包含在robots.txt文件中的時候,你已經(jīng)在告訴真實的人們這些文件在哪里颂砸。同樣讓人驚訝的是噪奄,大多數(shù)這些“秘密的”文件都沒有采取保護措施死姚,競爭者們不需要任何權(quán)限和密碼就可以輕松的獲得它們。
漏洞影響
有可能泄露系統(tǒng)中的敏感信息勤篮,如后臺地址或者不愿意對外公開的地址等等都毒。
解決建議
確保robots.txt中不包含敏感信息,建議將不希望對外公布的目錄用一些特殊字符包含起來而不是放到robots.txt文件中碰缔。如admin目錄可以命名為admin账劲,這樣就能保證攻擊者無法獲取目錄了。
