假设我有一个网站
www.example.com
。网站目录下有一个页面secret.html
。它可以像www.example.com/secret.html
一样直接访问,但没有链接到它的页面。是否有可能发现此页面,还是会对外界隐藏?
如果您的网络服务器中禁用了目录列表,那么人们找到它的唯一方法就是通过猜测或找到指向它的链接。
也就是说,我见过黑客脚本试图“猜测”一大堆这些常见名称。
secret.html
可能会出现在这样的猜测列表中。
更合理的解决方案是通过 htaccess 文件(对于 apache)使用用户名/密码或您正在使用的任何网络服务器的等效设置来限制访问。
查找网页只有两种方法:通过链接或列出目录。
通常,网络服务器会禁用目录列表,因此如果确实没有指向该页面的链接,则无法找到该页面。
但是:有关该页面的信息可能会以您意想不到的方式泄露。例如,如果使用 Google 工具栏的用户访问您的页面,那么 Google 可能会知道该页面,并且它可能会出现在其索引中。这将是您页面的链接。
是的,你可以,但你首先需要一些工具。您需要了解一些基本编码、FTP 客户端、端口扫描器和暴力工具(如果有
.htaccess file.
)
如果不只是尝试 tgp.linkurl.htm 或 html,即
default.html
、www/home/siteurl/web/
或 wap /index/ default /includes/ main/ files/ images/ pics/ vids/
,可能是服务器上可能的文件位置,因此请尝试所有这些,例如 www/home/siteurl/web/includes/.htaccess
或 default.html
。经过几次尝试后你会找到一个文件,然后解决它。雅虎也有一个站点文件查看器:您可以尝试扫描站点文件索引。
或者,尝试使用 brutus aet、trin00、trinity.x 或 Whiteshark Airtool 来破解网站的 FTP 登录(但这是非法的,我不会容忍这种行为)。
DirBuster 是一个黑客脚本,可以猜测 nsanders 提到的一堆常见名称。它实际上会暴力破解常见单词和文件结尾(.html、.php)的列表,并随着时间的推移找出此类网站的目录结构,这可能会发现您所描述的页面,但也会发现许多其他页面。
任何爬虫或蜘蛛都会读取您暴露在网络上的
index.htm
或同等内容,他们将读取该页面的源代码,并找到与该网页关联并包含子目录的所有内容。如果他们找到“联系我们”按钮,则可能包含处理“联系我们”操作的网页或 php 的路径,因此他们现在多了一个子目录/文件夹名称来爬行和挖掘更多内容。但即便如此,如果该文件夹有 index.htm
或等效文件,它也不会列出该文件夹中的所有文件。 如果程序员错误地从未在该文件夹中包含
index.htm
文件,那么所有文件都会列出在您的计算机屏幕上,并且也可供爬虫/蜘蛛继续挖掘。但是,如果您创建了一个文件夹
www.yoursite.com/nombresinistro75crazyragazzo19/
并在其中放置了多个文件,并且从未发布任何按钮或从未在网络中的任何位置公开该文件夹地址,只保留在您的脑海中,那么很可能没有人会找到该路径,爬虫或蜘蛛,如果更复杂的话也可以。 当然,除非他们可以进入您的 FTP 或访问您的站点控制面板。
<meta name="robots" content="noindex, nofollow" />
然后在您的网站根目录中创建 robots.txt 文件并添加这些行,它也会阻止对所有搜索机器人的访问,但如果有人访问 robots.txt 文件,那么他们可以使用您禁止的文件名。所以这完全取决于您是否将其添加到 robots.txt 中。
User-agent: *
Disallow: /yourFileNametoHide.html
但是在这里,即使有人从 robots.txt 文件中知道您的文件名,您也可以阻止文件访问 只需将这些行添加到您的 .htaccess 文件中,如果您有动态 IP 并且它发生变化,则将 xxx.xxx 替换为您的 IP 地址的前两部分,以便只有您可以访问该文件。如果您的 IP 地址始终是相同的静态,那么您可以简单地将其替换为您的静态 IP 地址。
Options All -Indexes
<Files "YourFileNametoBlock.html">
Order Deny,Allow
Deny from all
Allow from localhost
Allow from 127.0.0.1
Allow from xxx.xxx.0.0/15
Allow from xxx.xxx.*.*
Options +Indexes
</Files>
如果您想拒绝包括您自己在内的所有人的文件。然后只需将其添加到 .htaccess 文件中
Options All -Indexes
<Files "YourFileNametoBlock.html">
Order Deny,Allow
Deny from all
</Files>