Hello there, ('ω')ノ

 

robots.txtは、攻撃者に見せたくない場所を伝えて。

つまり、「ここには何も見えない」と言うことで攻撃者は興味を持つわけで。

 

robots.txtファイルが、攻撃者に所有者が。

保護しようとしているディレクトリに関する手がかりを与えることで。

ターゲットに関する潜在的な貴重な情報を提供できるわけで。

 

robots.txtファイルは、検索エンジンにWebサーバ上のどのディレクトリを。

読み取ることができるか、または読み取れないかを通知して。

攻撃者は、所有者が隠したいものを持っていると言っているようなもので。

システム管理者が機密資産をどこに保存するかについての手がかりを。

提供すると考えていて。

最も単純なケースでは、robots.txtは。

制限されたパスとサーバで使用されているテクノロジーを明らかにするわけで。

 

 

多くの場合、脆弱性と不十分なセキュリティを含む管理ポータルは。

資産を不明瞭にするために robots.txtの禁止リストに定期的に含まれていて。

これらのポータルを特定することは、robots.txtファイルを収集して。

サブディレクトリの詳細なリストを更新するペネトレーションテスターの。

標準的な方法で。

robots.txtファイルは、将来の攻撃や侵入テストで機密資産の発見を。

スピードアップするのに役立つわけで。

 

ペネトレーションテスターは通常、Webアプリケーションテストの偵察段階では。

既知のサブディレクトリのリストを使用して。

サーバをブルートフォース攻撃し、隠されたリソースを見つけたりと。

ただ、特定のWebテクノロジーの採用に応じて。

サブディレクトリのリストは定期的な更新が必要で。

 

disallow文は、攻撃者に何を見る価値があるかについての貴重な知識を与えて。

さらには、それが1つのサイトに当てはまる場合は。

別のサイトでも確認する価値もあって。

 

Best regards, (^^ゞ