pregnancy

تحدير لأصحاب المواقع بخصوص ملف robots.txt

يقوم أغلب مديري المواقع بتحميل ملف robots.txt على سيرفر الويب الخاص بهم، وتتمتل مهمة هذا الملف في منع بعض المجلادات الموجودة في السيرفر من الظهور في مواقع البحث، ك Google،Yahoo ، و غيرها
في هاته التدوينة ، سنتعرف أكثر على هذا الملف، كما سنعرض كيفية إيجاده في محركات البحت ، بالإضافة إلى معرفة مخاطر هذا الملف في حالة تم وجوده.


أولا ملف robots هو ملف txt يحتوي على مجموعة من الأسطر ، والتي من خلالها ، يمكن أن يأمر مواقع البحث، بإخفاء بعض المجلدات أو الملفات أو السكريبتات، نظرا لحساسيتها وخطورتها، خصوصا إذا تم عرضها في الصفحات الأولى للنتائج البحث.
لكن هناك بعض الهاكر من يستغلون هذا الملف في العتور على هذا مجلدات مخبأة في السيرفر، والتي تكون في غاية الأهمية، كمجلدات التسطيب ك phpmyadmin ، أو ملف للكلمات السر ...
يحتوي الملف على مجموعة من السطور ، نذكر أههما الأمرين allow و disallow.
الأول يقوم بإظهار المجلدات في نتائج البحت ، أما التاني فلا يسمح لها بالظهور.
كيف يمكن إيجاد هذه الملف في الموقع ؟!!
هناك مجموعة من الطرق ، نذكر أولا الطريقة التقليدية، وهي إضافة كلمة robots.txt في آخر الموقع. في حالة عدم وجوده، سيتم إظهار رسالة خطأ.
الطريقة التالية، وهي البحث عنه في مواقع البحث ك Google، وسنعرض بعض الأمثلة:
سوف نقوم بالبحث عن ملف robots.txt في موقع البحث Google، شريطة وجود كلمات ، لها أهمية عند الهاكر، نأخد مثال كلمة phpmyadmin.
inurl:".com/robots.txt" + "Disallow:phpmyadmin" 
بعد البحث نجد :


كما هو موضح، المجلد مخفي في محركات البحث، لكنه موجود في السيرفر .
يمكن أيضا تغيير سطر البحث، والبحت عن المجلد الخاص بتسطيب الوردبريس ، بالأمر التالي :
inurl:".com/robots.txt" + "Disallow:wordpress" 

Drupal أيضا :
inurl:".com/robots.txt" + "Disallow: ?q=admin" 

Joomla :

inurl:".com/robots.txt" + "Disallow:joomla" 


والمصيبة عند إيجاد ملف إسمه passwords.txt:
inurl:"/robots.txt" + "Disallow: passwords.txt" 
وبه وجب الإعدام والسلام. الى درس اخر انشاء الله من دروس مدونة رواد الحماية

شكرا لتعليقك