16 de abril de 2007

Seguridad: Los robots.txt los carga el diablo

Estoy ahora mismo con Roberto de lotosanjuan.com enseñándole cómo funcionan las Herramientas para Webmaster de Google y al revisar el tema de robots.txt he recordado el agujero de seguridad que este fichero supone.

Por si alguien no lo sabe este fichero sirve para excluir zonas de tu página web del escaneo del robot del buscador, pero con mala idea puede ser útil para encontrar zonas privadas de la página web (por ejemplo un panel de gestión de contenidos dinámicos).

Vale que ese panel estará protegido por un supermegagigasistema de seguridad con usuario y password, pero saber donde está ese formulario de acceso siempre ayuda al usuario malintencionado. Por no hablar de carpetas llenas de ficheros privados que estarían entonces accesibles para un usuario con mala uva.

Os voy a poner aquí algún ejemplo inocente de esos ficheros (los que voy a mostrar no comprometen la seguridad de nadie):

Estos ejemplos que he puesto no contienen ninguna información delicada, pero por favor, revisad vuestras webs que más de uno deja en robots.txt información que puede ser utilizada cómo miga de pan para llegar a la Casital de Chocolate que es vuestra base de datos :)


Comparte este Post:
Menéame Digg!

No hay comentarios: