攻防世界（WEB）robots

最新推荐文章于 2025-04-11 14:07:17 发布

jemus17

最新推荐文章于 2025-04-11 14:07:17 发布

阅读量222

点赞数 8

文章标签：安全 http 网络安全 https web安全计算机网络

本文链接：https://blog.youkuaiyun.com/jemus17/article/details/138531494

版权

通过题目标题，知道这个题考的是robots相关方向，之前在新手区做过一道robots，重要的就是要看robots.txt文件里面的权限如何

再一次补充一下robots的知识点，详细可以参考新手区题目

当robots访问一个网站（比如http://www.abc.com）时，首先会检查该网站中是否存在http://www.abc.com/robots.txt这个文件，如果机器人找到这个文件，它就会根据这个文件的内容，来确定它访问权限的范围。（也就相当于一个管理权限的文件）
robots.txt文件用法举例：
User-agent(搜索引擎robots的名字)：*(*代表所有）
Disallow(以Disallow开头的url都禁止访问)：/(代表禁止所有引擎访问网站任何部分）
例：
User-agent:baiduspider
Disallow:
User-agent:*
Disallow:/
代表允许baiduspider来访问网站任何，其他都不行
————————————————

题目描述:

X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。

这一看什么都没有，根据题目是关于robots的，直接访问/robots.txt

可以看到禁止了所有robots引擎访问f1ag_1s_h3re.php，允许Yandex搜索引擎访问所有内容，我们便去往f1ag_1s_h3re.php看一下

果然被禁止的网址就是藏着flag的地方

做题时一定根据题目和提示，围绕她们展开

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

jemus17

关注关注

8
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【攻防世界CTF|web方向】第四题：robots

weixin_70825534的博客

08-02

704

2.关于robots协议的道德性：你看我们访问的f1ag_1s_h3re.php文件，它在robots.txt文件里面定义的是disallow，但是我们还是随随便便就进去了，这也说明robots协议是一种君子协议，没有强制性。但它说了flag is here诶，咱们高低得去Get一下看看，这样才能得到flag。在这个.txt文件里面规定了不让我们去访问f1ag_1s_h3re.php文件。我们去查一下robots协议到底是啥，在我们找到flag的路上至关重要。很好，没骗人，flag is here！

HTTP 请求走私漏洞详解

江左盟的博客

07-08

3452

超详细的HTTP请求走私漏洞教程，看完还不会你来找我。

参与评论您还未登录，请先登录后发表或查看评论

Web安全学习积累——robots协议与备份文件后缀

qq_53099802的博客

04-15

1794

web的robots协议和备份后缀

攻防世界之robots（web简单）

my_name_is_sy的博客

05-24

560

题目：老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。打开网页，发现什么也没有。既然如此，那么我们根据题目提示，搜索robots，可得： robots是网站跟爬虫间的协议，具体表现为 robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个爬虫访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，爬虫就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的爬虫将能够访问网站上所有没有被口令保护的页面

ctf-攻防世界-web：robots

一只菜鸟的博客

11-01

1838

提示robots协议，那么直接在靶机地址后加/robots.txt，访问看看出现disallow，即不允许全体爬虫访问f1ag_1s_h3re.php，按照ctf“不让干啥偏干啥”的传统，那就去访问f1ag_1s_h3re.php看看，果然flag出现另：关于robots.txt robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的...

攻防世界 web robots

shidonghang的博客

10-24

1552

robots 题目场景 Robots协议 robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉网络爬虫在服务器上什么文件是可以被查看的。当一个网络爬虫访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护...

攻防世界 WEB robots

weixin_45399261的博客

10-31

115

robots协议也叫robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的漫游器获取的，哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的，所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为，那么可以将自定的设置合并到根目录下的robots.txt，或者使用robots元数据（Metadata..

攻防世界WEB（新手模式）7-robots

你好

07-20

581

发现了个flag_ls_h3re.php,还是老规矩啊，放到URL看看（直接复制粘贴进去就可以）那么好，我现在知道了他就是一个robots.txt文件，那我直接放到URL看看。进入环境之后一片空白啊，看来只能从题目入手，看看robots协议到底是什么吧。咱们也是简单检索一下就发现了robots协议啊，大家有兴趣的可以点此链接观看。oka他直接告诉我们flag不在这，那我们只能重新回到robots协议了。但是在此之前呢，我家是习惯性看下他的源代码，看看能不能发现什么信息。

攻防世界-WEB：robots

wlw1275178332的博客

03-14

204

哪些页面可以抓取,哪些页面不能抓取,robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；Disallow: f1ag_1s_h3re.php // 这里定义是禁止爬寻f1ag_1s_h3re.php目录。很明显，我们所要的flag就在f1ag_1s_h3re.php文件中，访问f1ag_1s_h3re.php。

【攻防世界】robots

m0_74979597的博客

07-10

368

从题目知道考察robots协议；robots协议保存在robots.txt文件里；总之：考察robots协议，并会保存在robots.txt 文件里；所有用户不能访问：f1ag_1s_h3re.php文件。robots协议是机器人排除协议，不能使爬取数据；

robots (攻防世界)

HackerYY的博客

11-15

2283

攻防世界robots 内附解题过程

【攻防世界CTF|web方向】第一题：Training-WWW-Robots

weixin_70825534的博客

07-24

638

如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。1.做题技巧层面：有时flag会出现一些相似的变形，比如这道题中的fl0g，不要忽视了。如果您希望搜索引擎收录网站上所有内容，请勿建立 robots.txt文件。3.尝试访问：本题目场景的网页下的robots.txt文件，得到如下界面。，如同守门人无法阻止窃贼等恶意闯入者,是一个类似于君子协议的文件。形式：在网站根目录下的robots.txt文件。的内容时，才需要使用。

攻防世界 web2 robots协议

maixinbaogu的博客

06-15

618

攻防世界 web基础 robots robots是网站跟爬虫间的协议，用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限，也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。如果创建一个纯文本文件robots.txt，在这个文件中声明该网站中不想被robot访问

网站DDoS防护方案——构建企业级安全屏障的关键路径

2501_91486804的博客

04-11

435

IDC报告显示，采用智能弹性防护方案的企业，业务中断时间中位数仅为11分钟，相较传统方案缩短89%。本文深度解析DDoS攻击最新演变趋势与防御技术体系，通过攻击特征图谱、云原生防护架构、混合防御模型等维度，揭示企业级网站防护方案的设计逻辑。网站DDoS防护方案需集成BGP FlowSpec协议，实现攻击特征在骨干网的分钟级同步，将清洗动作从应用层下沉至网络层。某股份制银行在等保测评中，因其防护方案具备完整的流量镜像与证据链固化功能，成为全国首个通过四级认证的金融网站。

视频智能分析平台EasyCVR打造智能视频监控烟火预警系统，助力烟花鞭炮厂坚固安全防线

最新发布

NVR安防视频技术

04-11

239

为有效预防和减少事故的发生，应急管理部要求，全国烟花爆竹生产企业需在规定时间内，完成报警与监控联网，排查安全隐患，保障国家和人民财产的安全。

餐饮厨房开源监控安全系统的智能革命

Q12345bb的博客

04-10

349

如何让后厨更透明、更安全、更可信？- 行为识别：基于深度学习（ResNet+姿态分析），捕捉吸烟、离岗、未按流程操作等违规行为，误报率低于2%。- 内置反馈通道，用户可通过APP提交建议（如“后厨油烟过重”），AI分类后推送至管理者。，打造智能化、全方位的安全防护网，助力餐饮行业破解管理痛点，提升消费者信心，开启智慧后厨新篇章！- 检测食品安全风险，如生熟分离不规范、添加剂滥用，识别率达97%，响应时间低于1秒。- 效果：某连锁餐厅试点，日均发现10余次卫生隐患，整改率提升90%。

包含网络、平台、数据及安全四大体系的智慧快消开源了

weixin_63598920的博客

04-10

285

智慧快消视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒，省去繁琐重复的适配流程，实现芯片、算法、应用的全流程组合，从而大大减少企业级应用约95%的开发成本。国产化人工智能“产学研用”一体化创新模式在行业的建立，将大大提升当地政府人工智能形象。用户只需在界面上进行简单的操作，就可以实现全视频的接入及布控。

【区块链安全 | 第三十八篇】合约审计之获取私有数据（二）

等风来

04-08

824

从上述 Vault 合约代码可以看出，合约将用户的敏感信息（如用户名与密码）直接存储在链上。尽管使用了 private 关键字对变量进行了访问限制，但在区块链中，所有合约数据都是公开可见的。private 仅限制了其他合约或外部账户通过函数调用访问变量的能力，但无法阻止任何人通过读取链上存储数据（storage）来获取这些信息。

攻防世界 web cookie

03-12

### 关于Web Cookie的安全性与防护措施 #### Session Cookie 和 Persistent Cookie 的区别 Session cookie 针对某一次会话而言，会话结束 session cookie 就随之消失；而 persistent cookie 存在于客户端硬盘上的一段文本（通常是加密的），并且可能长期存在。由于持久化存储的特点，persistent cookie 更容易遭受攻击，如cookie欺骗以及针对cookie的跨站脚本攻击，因此相较于session cookie来说安全性较低[^1]。 #### 设置安全的Cookie属性为了提高Cookie的安全性，可以通过设置特定属性来增强保护机制： - **HttpOnly 属性**：当设置了此属性后，浏览器将阻止JavaScript访问这些Cookies，从而降低了XSS攻击中窃取用户凭证的风险。 - **Secure 属性**：确保只有在HTTPS连接下才会发送该Cookie，防止在网络监听的情况下泄露敏感信息。例如，在PHP环境中可以这样配置： ```php setcookie('username', 'user', time() + 3600, '/', '', true, true); ``` 这段代码创建了一个名为`username`的Cookie，并启用了`Secure`和`HttpOnly`选项[^2][^3]。 #### CSRF 攻击防范除了上述提到的方法外，还需要考虑如何抵御CSRF（Cross-Site Request Forgery）攻击。一种有效的策略是在表单提交过程中加入一次性令牌(Token)，并由服务端验证其有效性。此外，还可以利用现代浏览器支持的新特性——SameSite属性，它能够控制第三方网站发起请求时是否携带当前站点的Cookie[^4]。综上所述，通过合理运用以上几种技术手段，可以在很大程度上提升Web应用程序中使用的Cookie的整体安全性水平。