8,327
社区成员
发帖
与我相关
我的任务
分享一个很可怕的问题,雅虎竟然搜集网站管理帐号用于收集网页。
很奇怪,学校网页上添加的内容多次无缘无故地被删除,起初认为是有人在恶意删除,马上查看日志,找到删除链接,记录数据如下:
2008-09-09 04:36:41 服务器的IP GET /dir1/dir2/content.asp del=92&page=1 80 - 202.160.178.176 Mozilla/5.0+(compatible;+Yahoo!+Slurp+China;+http://misc.yahoo.com.cn/help.html) 200 0 0
因为我是用了别人的后台模板,原来是用get方式提交删除操作的,上面大家应该可以看得出,del=92意思是要删除ID为92的记录。
我马上反应过来了,会不会是这个后台的该页的登录验证有问题,马上在浏览器里输入http://servername/dir1/dir2/content.asp?del=92&page=1,提示需要登录,那就怪了,难道代码有问题?先删除再认证?,打开ASP的代码,没有是正确的,自己又加了一条记录上去,现在退出管理,在浏览器里输入地址,把DEL后的ID改成新的ID,回车,提示需要登录才能操作,回到管理,记录仍然存在。
带着试试看的心情,去了一趟雅虎搜索(不是为这个,还没去过)。用“site:servernaem 删”(因为我的操作页面上就是点击删的)一搜,吓我一跳,后台的页面内容都出来了。点击快照,却不让看。显示如下信息:
对不起, 您要访问的 http://servername/dir1/dir2/content.asp 的快照页面已经不存在
您可以点击 这里 直接访问原页面
页面上显示的最后更新日期是2008-8-25日,离今天10多天,我并没有更新过管理功能。经多次研究,代码上绝对是安全的,至少我能确定雅虎搜索到的页面是需要登录验证的,而且在验证中并没有对雅虎有什么照顾。
那为什么会这样呢,希望有兴趣的朋友可以跟我一起探讨。
为了网站的安全,我暂时更改了正确的网址和IP地址,但信息绝对是真实的。服务器配置是WINDOWS2003SERVER+IIS6+ASP
2008-09-09 04:36:41 服务器的IP GET /dir1/dir2/content.asp del=92&page=1 80 - 202.160.178.176 Mozilla/5.0+(compatible;+Yahoo!+Slurp+China;+http://misc.yahoo.com.cn/help.html) 200 0 0
因为我是用了别人的后台模板,原来是用get方式提交删除操作的,上面大家应该可以看得出,del=92意思是要删除ID为92的记录。
我马上反应过来了,会不会是这个后台的该页的登录验证有问题,马上在浏览器里输入http://servername/dir1/dir2/content.asp?del=92&page=1,提示需要登录,那就怪了,难道代码有问题?先删除再认证?,打开ASP的代码,没有是正确的,自己又加了一条记录上去,现在退出管理,在浏览器里输入地址,把DEL后的ID改成新的ID,回车,提示需要登录才能操作,回到管理,记录仍然存在。
带着试试看的心情,去了一趟雅虎搜索(不是为这个,还没去过)。用“site:servernaem 删”(因为我的操作页面上就是点击删的)一搜,吓我一跳,后台的页面内容都出来了。点击快照,却不让看。显示如下信息:
对不起, 您要访问的 http://servername/dir1/dir2/content.asp 的快照页面已经不存在
您可以点击 这里 直接访问原页面
页面上显示的最后更新日期是2008-8-25日,离今天10多天,我并没有更新过管理功能。经多次研究,代码上绝对是安全的,至少我能确定雅虎搜索到的页面是需要登录验证的,而且在验证中并没有对雅虎有什么照顾。
那为什么会这样呢,希望有兴趣的朋友可以跟我一起探讨。
为了网站的安全,我暂时更改了正确的网址和IP地址,但信息绝对是真实的。服务器配置是WINDOWS2003SERVER+IIS6+ASP
...全文
请发表友善的回复…
发表回复
wesheng 2008-09-14
- 打赏
- 举报
再次谢谢各位的解答,我已经很清楚地说明,后台的所有操作是需要验证,绝对没有问题。像有些论坛等为了提高搜索引擎的收集量,是特意做了相应的处理。
用过GOOGLE站长管理工具的人应该知道,GOOGLE有这个功能,你可以设定一个帐号和密码,可以让GOOGLE能抓取正常情况抓取不到的页面。
我再想问一下,雅虎是否也存在像GOOGLE一样的管理工具,因为我们这个网站后台有很多管理员,会不会有好事者提交了自己的登陆信息。
用过GOOGLE站长管理工具的人应该知道,GOOGLE有这个功能,你可以设定一个帐号和密码,可以让GOOGLE能抓取正常情况抓取不到的页面。
我再想问一下,雅虎是否也存在像GOOGLE一样的管理工具,因为我们这个网站后台有很多管理员,会不会有好事者提交了自己的登陆信息。
wwtdan 2008-09-12
- 打赏
- 举报
汗。关注!
szzwl 2008-09-12
- 打赏
- 举报
不太可能
rankisky 2008-09-12
- 打赏
- 举报
所有引擎都有这样的问题的。
只是,偏巧你在程序中也没验证,建议你把你的身份验证都放到一个页面里,那样的话,你只要加载这个页面就行了。。
加上验证和robots文件,应该就没有问题了。
只是,偏巧你在程序中也没验证,建议你把你的身份验证都放到一个页面里,那样的话,你只要加载这个页面就行了。。
加上验证和robots文件,应该就没有问题了。
dz023 2008-09-11
- 打赏
- 举报
还是分析下代码,
大王带我来巡山 2008-09-10
- 打赏
- 举报
代码问题是肯定的
dingzhaofeng 2008-09-10
- 打赏
- 举报
这个问题换个论坛去讨论吧
zl_c 2008-09-10
- 打赏
- 举报
不是YAHOO的原因,是你的程序原因.
哪有删除不做身份认证的?
哪有删除不做身份认证的?
wdx2008 2008-09-10
- 打赏
- 举报
我要分。。。
wdx2008 2008-09-10
- 打赏
- 举报
不是雅虎有这个问题,觉的其它搜索引擎照样存在这样的问题
不知道你有没有留意,百度搜索的有些论坛内容是需要登陆才能查看的,而百度快照则可以直接查看!
这至少说明,百度搜索该内容时必须登陆论坛才可以操作。
GOOGLE更牛了,曾经炒的沸沸扬扬的某些甚至涉及到军事的内容,图片等信息是怎么来的?我不相信是从普通网站的普通页面上抓过来的。
你如果有SEO,网站推广方面的经验就会知道有些论坛群发软件可以自动在论坛注册发帖,既然发帖都可以读内容当然更没问题了,我就可以写出这样的代码。个人都能做到这样知名搜索引擎收录需要登陆的网页也就不足为奇了。
看到上面的情况也许你就不组为奇了。
至于为什么YAHOO搜索会删除你的内容,个人认为一方面是YAHOO搜索不够智能另一方面可能和你的网站代码也有关系
不知道你有没有留意,百度搜索的有些论坛内容是需要登陆才能查看的,而百度快照则可以直接查看!
这至少说明,百度搜索该内容时必须登陆论坛才可以操作。
GOOGLE更牛了,曾经炒的沸沸扬扬的某些甚至涉及到军事的内容,图片等信息是怎么来的?我不相信是从普通网站的普通页面上抓过来的。
你如果有SEO,网站推广方面的经验就会知道有些论坛群发软件可以自动在论坛注册发帖,既然发帖都可以读内容当然更没问题了,我就可以写出这样的代码。个人都能做到这样知名搜索引擎收录需要登陆的网页也就不足为奇了。
看到上面的情况也许你就不组为奇了。
至于为什么YAHOO搜索会删除你的内容,个人认为一方面是YAHOO搜索不够智能另一方面可能和你的网站代码也有关系
mmidd 2008-09-10
- 打赏
- 举报
后台每个页面都要验证用户级别啊
别针对雅虎,看看百度,google site到你的页面情况,搜索引擎应该没问题。
别针对雅虎,看看百度,google site到你的页面情况,搜索引擎应该没问题。
mrshelly 2008-09-10
- 打赏
- 举报
显然,在你的删除这个页面.没有进行身份验证.
在进行数据库添删改的时候,一定要做好身份验证判断...
在进行数据库添删改的时候,一定要做好身份验证判断...
wesheng 2008-09-10
- 打赏
- 举报
看来200分白花了,呵呵。大家快来啊
一把编程的菜刀 2008-09-10
- 打赏
- 举报
你确认你代码没问题??
还是只是你自己没检查出来而已啊?
还是只是你自己没检查出来而已啊?
xiaojing7 2008-09-10
- 打赏
- 举报
我是来学习的!
zzxap 2008-09-10
- 打赏
- 举报
雅虎怎么会有问题
redcn2004 2008-09-10
- 打赏
- 举报
很显然是代码的问题,不可能就访问一下,你的代码就执行删除了,肯定是代码的问题。
wesheng 2008-09-09
- 打赏
- 举报
谢谢两位
用robot.txt我知道,这个问题本身好解决,我是想探讨一下雅虎是否存在该问题的问题
用robot.txt我知道,这个问题本身好解决,我是想探讨一下雅虎是否存在该问题的问题
killxtt 2008-09-09
- 打赏
- 举报
顶
bieyinan 2008-09-09
- 打赏
- 举报
robots文件设置下就OK,后台管理目录disallow
