子域名是什么漏洞简易探测演示:


8月23日消息

8月23日消息,Coinbase与ENS合作上线去中心化身份功能,能够生成并向符合条件的用户提供免费的子域名。用户可通过Coinbase Wallet领取基于ENS的“cb.id”子域名,从而获得去中心化身份并访问Web3服务。

盘点那些有关Robots实战经验

盘点那些有关Robots实战经验,小白速看!


robots协议简介
在网站优化中,robots协议是优化人员需要重视的细节,或许还不知Robots是什么。robots协议是一个搜索引擎的国际默认公约,通常用于网络搜索引擎的漫游器(又称网络蜘蛛),此网站中哪些内容是不应被搜索引擎漫游器获取的,哪些是可以被漫游器获取的。所以任何网站只要在其robots中禁止搜索引擎访问,那么搜索引擎就无权收录。例如:用户在网站上产生的内容势必会有能够带来商业价值的数据,同时也涉及到用户隐私,所以网站必须保护好用户隐私,不能将数据轻易交付给第三方。此时,robots的重要性就体现出来了,网站可以设置禁止网络爬虫爬取用户隐私的robots。
下面,就让我们来了解一下robots协议吧!
Robots文件的作用
robots文件是一个放置在域名(或子域名)根目录下、文件名固定为robots.txt(全部小写)、UTF8编码、纯ASCII的文本文件,用来通知搜索引擎,网站的哪些部分可以抓取,哪些禁止抓取robots.txt只对所在域名(或子域名)、协议和端口号起作用。
搜索引擎蜘蛛在抓取网站页面前,会先看一下robots.txt的内容,哪些页面可以抓取,哪些页面被站长禁止抓取。当然,是否遵守robots文件规则就靠自觉,某些坏蜘蛛就不遵守,站长是没办法的,比如采集内容、克隆网站的。
所以,robots.txt文件是站长禁止搜索引擎抓取某些页面的指令。但是注意,页面没有被抓取,不意味着页面就不会被索引和收录,这是两个概念。
怎样写Robots文件
robots协议简介:Robots文件每行记录均由一个字段、一个冒号和一个值组成,标准格式是:
:<#ment>
其中指可以加一个空格,但不是必须,通常建议加这个空格,比较容易读
<#ment>是另一个可选项,用于写些注释
通常robots文件中的记录通常以User-agent开始,后面加上若干Disallow和Allow行。User-agent指定本记录用于哪个搜索引擎蜘蛛,Disallow是指定禁止抓取的文件或目录,Allow是指定允许抓取的文件或记录。
所有搜索引擎都支持的robots文件记录包括: 
Disallow 告诉蜘蛛不要抓取某些文件或目录。如下面代码将阻止所有蜘蛛抓取所有的网站文件:
    User-agent: *
    Disallow: /
Allow  告诉蜘蛛应该抓取某些文件。Allow和Disallow配合使用,可以告诉蜘蛛某个目录下,大部分都不抓取,只抓取一部分。如下面代码将使蜘蛛不抓取qg目录下其他文件,而只抓取其中cd下的文件:
    User-agent: *
    Disallow: /qg/
    Allow: /ag/cd
$通配符 匹配URL结尾的字符。如下面代码将允许蜘蛛访问以.htm为后缀的URL:
    User-agent: *
    Allow: .htm$
*通配符 告诉蜘蛛匹配任意一段字符。如下面一段代码将禁止所有蜘蛛抓取所有htm文件:
    User-agent: *
    Disallow: /*.htm
Sitemaps位置 告诉蜘蛛你的网站地图在哪里,格式为:
    Sitemap:

一、Robots文件的注意事项
另外提醒大家注意的是,robots.txt文件可以不存在,返回404错误,意味着允许蜘蛛抓取所有内容。但抓取robots.txt文件时却发生超时之类的错误,可能导致搜索引擎不收录网站,因为蜘蛛不知道robots.txt文件是否存在或者里面有什么内容,这与确认文件不存在是不一样的。
另外,如果robots.txt文件不存在,而404页面上包含一些URL,可能会造成搜索引擎误将404页面的内容当作robots文件的内容,导致无法预测的后果。所以,即使想开放所有搜索引擎蜘蛛抓取所有内容,也最好放一个robots文件,哪怕是空的文件。
Robots文件的检测
写好robots文件后如果不确定是否写得正确,可以用Robots.txt检测工具验证一下:如->
枫树SEO网的Robots.txt检测工具
打开枫树SEO网(网页链接)
点击站长工具

再点击Robots检测工具

或输入网址
网页链接
输入网址后,验证工具会告诉你的网站robots文件写得怎么样,URL是否允许被抓取和都禁止了哪些蜘蛛爬取和禁止爬取了哪些目录
如图所示:

掌握robots文件用法和写法是SEO的基本功.遇到页面不被收录或收录骤降,robots文件也是第一个

漏洞简易探测演示:

漏洞简易探测演示:
第一步,访问 ,点击“GetSubDomain”按钮,获取你的临时专有子域名,用于获得DNSlog回显:

第二步,根据该子域名构建一个JNDI字符串:
如${jndi:ldap://网页链接}
第三步,访问你们自个儿公司包括内网各种有可能应用了log4j的Java站点,在登录页面的输入框中尝试上述JNDI字符串,或者登录之后在各种查询输入框中尝试,如图一所示。
第四步,回到刚才的 ,点击“Refresh Record”,会发现多了一条DNS回显记录,如图二所示。
大家可以用同样的方法对你的Java站点做一下测试。如果没有该漏洞,则就不会有DNSlog回显记录。
多说一句,其原理在于:

1.攻击者在利用漏洞之前通常采用dnslog方式进行扫描、探测,常见的漏洞利用方式可通过应用系统报错日志中的"javax.naming.CommunicationException&34;javax.naming.NamingException: problem generating object using object factory&34;Error looking up JNDI resource"关键字进行排查。

2.攻击者发送的数据包中可能存在&34; 字样,推荐大家使用WAF进行检索排查。』