别让网站的robots成为最大的安全漏洞

你的网站信息安全吗？树大招风，一些公司往往再收到攻击之后，才想起网站安全。网站注册的个人信息能被黑客们轻易的拿下，对用户造成的损失无法估量。没有100%安全而完美的系统，黑客们乐此不彼的研究着这些网站的安全漏洞，总有一天会被攻破。

网站根目录下的robots.txt文件告诉搜索引擎的访问范围，使用方法很简单，但是搜索引擎还是个人来说都是可以访问的， 很多新人不知道这个文件的重要性，对于渗透测试人员或黑客，可以通过robots.txt文件发现敏感信息，比如猜测这是什么后台用什么数据库等，意味着自己的网站是真空上阵。文章源自张俊SEM-https://zhangjunsem.com/27611.html

文章源自张俊SEM-https://zhangjunsem.com/27611.html

如何防止别人访问呢？

网上有人这么做：在IIS中，选中robots.txt，右键属性里，选中重定向到URL，输入任意一个非本站的URL路径，勾选“上面准确的URL”以及“资源的永久重定向”，有点基础的童鞋知道，访问 http://域名/robots.txt 时，是自动跳转到指定的那个非本站URL路径。 这个方法在Apache环境中可以借助.htaccess达到这个重定向的目的。文章源自张俊SEM-https://zhangjunsem.com/27611.html

但是对于蜘蛛来说，这样的跳转意味着站内不存在这个文件，那蜘蛛就不会遵守这个规则，把能发现的URL都抓了。文章源自张俊SEM-https://zhangjunsem.com/27611.html

为防止别人利用robots文件泄露了网站的结构，做其他手脚，站长们是绞尽脑汁。不让搜索引擎来抓这个文件，那就不遵从抓取范围，都会放进索引库，对不想让搜索引擎建立索引的方法参考：页面不让搜索引擎建立索引。文章源自张俊SEM-https://zhangjunsem.com/27611.html

实用的防护措施，推荐采用通配符(*)替换敏感文件或文件夹

比如某个重要文件夹为admin，可以这样写robots文章源自张俊SEM-https://zhangjunsem.com/27611.html

User-agent:
Disallow:/a*/

意思是禁止所有搜索引擎索引根目录下a开头的目录，一般的网站的比较通用的命名有admin,include,templets,plus等，这些都是重要的文件夹，可以修改文件名，但是其他关联一并修改，否则系统会出错。文章源自张俊SEM-https://zhangjunsem.com/27611.html

用.htaccess禁止垃圾蜘蛛访问

一搜YisouSpider   #无视robots规则
宜搜EasouSpider   #无视robots规则
易查   #无视robots规则
MSNmsnbot-media
有道youdao
必应bingbot

当然你也要看流量来源，如果有，那就不要屏蔽，实在是少得很有每天很勤快的来访的话，可以屏蔽。文章源自张俊SEM-https://zhangjunsem.com/27611.html

robots屏蔽蜘蛛文章源自张俊SEM-https://zhangjunsem.com/27611.html

User-agent: YisouSpider
Disallow: /
User-agent: EasouSpider
Disallow: /
User-agent: msnbot-media
Disallow: /
User-agent: YoudaoBot
Disallow: /
User-agent: bingbot
Disallow: /

.htaccess屏蔽蜘蛛文章源自张俊SEM-https://zhangjunsem.com/27611.html

SetEnvIfNoCase User-Agent "^Yisou" bad_bot
SetEnvIfNoCase User-Agent "^Easou" bad_bot
SetEnvIfNoCase User-Agent "^Youdao" bad_bot
SetEnvIfNoCase User-Agent "^msn" bad_bot
Deny from env=bad_bot

或者如下写法，中间加就行了

RewriteCond %{HTTP_USER_AGENT} (jikeSpider|easouSpider|YisouSpider|bingbot|YoudaoBot|) [NC]