36、网页应用安全内容问题剖析与防护

网页应用安全内容问题剖析与防护

在网页应用的世界里，存在着诸多可能被黑客利用的内容问题。了解这些问题以及相应的防护措施，对于保障网站安全至关重要。

可获取信息的文件类型

• Robots.txt 文件 ：这是一个简单的文件，它指定了用户代理以及明确允许或禁止搜索的目录。对于黑客而言，它是快速识别应用程序中有趣区域的有用工具。例如，Google.com 的 robots.txt 文件中，搜索引擎被明确告知不要爬取某些目录，像 /catalogs 目录。手动浏览 google.com/catalogs 会发现这是一个可能未被察觉的测试版应用。不过，该文件需手动创建，系统设计者应意识到他们在暴露这些目录名。若设计者和管理员未察觉某些已被定位的目录，搜索结果对黑客来说会更有吸引力。
• FTP 日志文件 ：日志文件是查找额外目录和文件名的重要来源，尤其是 FTP 日志文件。任何可公开查看的日志或跟踪文件都可能成为安全隐患。FTP 日志能为黑客提供更多可查找的文件，还可能泄露系统名称、客户端 IP 地址甚至系统的内部 IP 地址。若发现某个有访问权限的 IP 追溯到住宅线路，那么这个可能防护较弱但对网站有大量访问权限的系统就会成为黑客的替代目标。所以，绝不要让任何类型的日志文件存放在网站根目录下。例如，通过 Google 搜索常见的 FTP 日志文件名，会发现有些文件是管理员有意放置的，但大多数可能并非如此。
• Web 流量报告 ：由专业软件分析 Web 流量日志生成的报告，不仅能显示最受欢迎的页面，还能显示最不受欢迎的页面。对于每日有数十万访问