robots.txt文件泄漏漏洞

时间:2022-11-22 17:57:05

漏洞原理及危害

网站根目录下存在robots.txt文件,其内容规定了网络爬虫可爬和不可爬的目录文件

搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。robots.txt文件可能会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。

测试方法

  1. 工具获取。通过工具爬虫扫描等方式得到敏感文件的路径,从而找到robots文件;
  2. 手工挖掘,直接在域名后输入/robots.txt进行查看。

robots.txt文件泄漏漏洞


修复建议

总体修复方式:不使用robots文件保护或隐藏信息;使用模糊规则实现robots;适度提升网站内容命名复杂度。具体如下 :

  • 避免在robots规则中包含敏感目录、文件、后台等信息。使用通配符“*”对目标目录或文件范围模糊化;
  • 避免常规的文件及目录命名规则,避免攻击者可轻易猜测文件目录。