优先选择一个优质可靠的安全策略
- 一个强制执行,可靠的安全策略应该作为安全努力的基础
- 如果没有策略,你的安全防护就是无效的或者无法强制执行的。
Web服务器安全防护
- robots.txt文件和专门的META标记能帮助禁止搜索引擎忘爬虫访问特定的页面或目录
-
目录列表和丢失的索引文件
- 目录列表,错误消息和错误配置能够提供太多的消息
- 通常在.htaccess文件里面设置来防止目录内容被未授权的用户浏览
-
Robot.txt:防止缓存
-
noarchive:缓存杀手
- meta标签实现的
-
nosnippet:出去 摘要
-
密码保护机制,即使是最进基本的,也能够禁止网络爬虫访问被保护的内容
软件默认设置和程序
入侵你自己的站点
- 使用site运算符来浏览你负责保护的服务器,时刻注意任何不属于该服务器的页面
- 使用雷士Gooscan或者Advanced Dork这样的工具来评估你网站的信息泄露情况,这些工具不使用Google API,所以要意识到任何滥用或者过分行为将导致Google封掉你的IP段
- 使用像wikto这样的工具,它使用了Google API而且能让你避免Google的封锁
- 使用Google Hacking Database 来监控最新的Google Hacking查询。把GHDB的输出内容和Goosacn和wikto这样的工具结合起来使用
从Google获得帮助
- 使用Google的Webmaster页面获取信息,特别是与Webmaster相关的部分。
- 使用Google URL删除工具从Google数据库中移除敏感数据。
