Chào tất cả các bạn! Một số bạn sử dụng code phishing nên bị google cảnh báo website lừa đảo. 1 phần là do các bạn ko biết code nên xài code share tràn lan dẫn đến 1 website bị dính backlist bởi code đó thì tất cả dùng code đó đều bị backlist. Thứ 2 là các bạn chưa biết tối ưu web chặn bot nên hôm nay mình sẽ hướng dẫn 1 số cách chặn bot cho các bạn.
Tìm hiểu một số thuật ngữ:
Phishing là gì: Tấn công giả mạo (thuật ngữ gốc tiếng Anh: phishing, biến thể từ fishing, nghĩa là câu cá, có thể ảnh hưởng từ chữ phreaking, nghĩa là sử dụng điện thoại người khác không trả phí, ám chỉ việc "nhử" người dùng tiết lộ thông tin mật), trong lĩnh vực bảo mật máy tính, là một hành vi giả mạo ác ý nhằm lấy được các thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiết thẻ tín dụng bằng cách giả dạng thành một chủ thể tin cậy trong một giao dịch điện tử. Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các giao dịch có vẻ xuất phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyến hoặc các quản trị mạng. Tấn công giả mạo thường được thực hiện qua thư điện tử hoặc tin nhắn nhanh[4], và hay yêu cầu người dùng nhập thông tin vào một website giả mạo gần như giống hệt với website thật. Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định được website là giả mạo. Tấn công giả mạo là một đơn cử của những kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng,[5] và khai thác sự bất tiện hiện nay của công nghệ bảo mật web.[6] Để chống lại hình thức tấn công lừa đảo ngày càng tăng, người ta đã nỗ lực hoàn chỉnh hành lang pháp lý, huấn luyện cho người dùng, cảnh báo công chúng, và tăng cường an ninh kĩ thuật.
Một kĩ thuật tấn công lừa đảo đã được mô tả chi tiết vào năm 1987, và thuật ngữ "phishing" được ghi nhận sử dụng lần đầu tiên vào năm 1996.
File robots.txt là gì
- Khi các robot của bộ máy tìm kiếm ghé thăm một website nào đó thì nó sẽ ghẽ thăm file robots.txt đâu tiên vì đây chính là bảng chỉ dẫn cho các robot tìm kiếm thông tin
firl robots.txt là gì? Công dụng của file robots.txt?
File robots.txt là một dạng file text có đươi .txt chứa các câu lệnh để hướng dẫn cho các robot tìm kiếm của google nên đọc những file nào và index file nào khi vào website.
- File robots.txt là một tập tin văn bản đơn giản (không chứa các mã HTML) được đặt trong thư mục gốc của website(ngăng cấp với file index.*(index.htm, index.php, default.aspx,….)
Hôm Nay Vô Ưu sẽ hướng dẫn các bạn thực hiện quá trình tấn công giả mạo này đối điều chú ý:
1: ở bài này mình không share code web dung để tấn công giả mạo mà chỉ hướng dẫn các bạn làm sao để không bị hosting xóa host vì lý do sử dụng phương pháp tấn công giả mạo
2: Vô Ưu không chịu trách nhiệm về hành vi của các bạn khi làm theo bài hướng dẫn này
Bây giờ chúng ta bắt tay vào làm web để lừa victim
về vấn đề code thì các bạn có thể lấy ở đâu đó... ví dụ vào facebook sau đó view mã nguồn và lưu lại chả hạn.... hoặc lấy nguồn ai đó share còn các bạn muốn thì mình sẽ share một số code phishing cho các bạn ở bài sau
để tạo tập tin robots.txt bạn mở chương trình Notepad và gõ các lệnh, sau đó lưu lại với tên robots.txt và chép vào thư mục gốc của website.
Để tạo file robots.txt bản mở chương trình notepad và gõ các câu lênh, Sau đó lưu lại với tên file là robot.txt và upload lên thư mục gốc của web
Các lênh cơ bản như sau
User-agent: *
Allow: /duocdocfilenay/
Disallow: /khongdocduocfilenay/
• User-agent: dùng để xác định bot của công cụ tìm kiếm.
• Allow: Cho phép bot vào thư mục nào đó.
• Disallow: Không cho bot đọc file nào đó.
-> Ở ví dụ trên hướng dẫn cho phép bot đọc file duocdocfilenay, và không cho phép bot đọc file khongdocfilenay.
Một số ứng dụng của file robots.txt
1. Chặn không cho bot google vào web
User-agent: *
Disallow: /
- Với những câu lệnh trên trì không có công cụ tìm kiếm nào lập chỉ mục (index) bất kỳ trang nào trong website của ban, nghĩa là các bài viết hay sản phẩm trong website của bạn sẽ không xuất hiện trong kết quả tìm kiếm của google
2. Không cho bot đọc một thư mục hay một trang nào đó
User-agent: *
Disallow: /khongxem.html/
Disallow: /test.html/
- Với những câu lệnh ở trên có nghĩa là cho phép bot đọc tất cả các file trong web trừ 2 file khongxem.html và test.html.
3. Chặn một bót nào đó
User-agent: Spambot
Disallow: /
User-agent: *
Disallow: /image/
- Spambot bị cấm truy cập tất cả các thư mục web còn các web khác được truy cập tất cả các thư mục trừ file image
4. Chỉ cho phép bot đọc một thư mục hoặc một trang nào đó
User-agent: *
Allow: /bai-viet/
Allow: /demo.html
Disallow: /includes/
- Cho phép tất cả các bot truy cập vào thư mục bai-viet và trang demo.html nhưng không được đọc thư mục includes
5. Chặn bot vào nhiều bài có cấu trúc đường dẫn giống nhau
VD Chúng ta có hai đường dẫn như sau
• www.vouuvhb.net/vouuvhb=1235345
• www.vouuvhb.net/vouuvhb1=1345
• ..
Chúng ta muốn chặn bot truy cập vào tất cả các đường dẫn dạng này thì làm thế nào? Các bạn nhìn kỹ sẽ thấy trong 2 URL trên có phần chung là /vouuvhblà cấu trúc giống nhau của 2 hoặc nhiều URL. Chúng ta sẽ chăn bot bằng lệnh sau
Disallow: /vouuvhb*
Tìm hiểu một số thuật ngữ:
Phishing là gì: Tấn công giả mạo (thuật ngữ gốc tiếng Anh: phishing, biến thể từ fishing, nghĩa là câu cá, có thể ảnh hưởng từ chữ phreaking, nghĩa là sử dụng điện thoại người khác không trả phí, ám chỉ việc "nhử" người dùng tiết lộ thông tin mật), trong lĩnh vực bảo mật máy tính, là một hành vi giả mạo ác ý nhằm lấy được các thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiết thẻ tín dụng bằng cách giả dạng thành một chủ thể tin cậy trong một giao dịch điện tử. Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các giao dịch có vẻ xuất phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyến hoặc các quản trị mạng. Tấn công giả mạo thường được thực hiện qua thư điện tử hoặc tin nhắn nhanh[4], và hay yêu cầu người dùng nhập thông tin vào một website giả mạo gần như giống hệt với website thật. Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định được website là giả mạo. Tấn công giả mạo là một đơn cử của những kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng,[5] và khai thác sự bất tiện hiện nay của công nghệ bảo mật web.[6] Để chống lại hình thức tấn công lừa đảo ngày càng tăng, người ta đã nỗ lực hoàn chỉnh hành lang pháp lý, huấn luyện cho người dùng, cảnh báo công chúng, và tăng cường an ninh kĩ thuật.
Một kĩ thuật tấn công lừa đảo đã được mô tả chi tiết vào năm 1987, và thuật ngữ "phishing" được ghi nhận sử dụng lần đầu tiên vào năm 1996.
File robots.txt là gì
- Khi các robot của bộ máy tìm kiếm ghé thăm một website nào đó thì nó sẽ ghẽ thăm file robots.txt đâu tiên vì đây chính là bảng chỉ dẫn cho các robot tìm kiếm thông tin
firl robots.txt là gì? Công dụng của file robots.txt?
File robots.txt là một dạng file text có đươi .txt chứa các câu lệnh để hướng dẫn cho các robot tìm kiếm của google nên đọc những file nào và index file nào khi vào website.
- File robots.txt là một tập tin văn bản đơn giản (không chứa các mã HTML) được đặt trong thư mục gốc của website(ngăng cấp với file index.*(index.htm, index.php, default.aspx,….)
Hôm Nay Vô Ưu sẽ hướng dẫn các bạn thực hiện quá trình tấn công giả mạo này đối điều chú ý:
1: ở bài này mình không share code web dung để tấn công giả mạo mà chỉ hướng dẫn các bạn làm sao để không bị hosting xóa host vì lý do sử dụng phương pháp tấn công giả mạo
2: Vô Ưu không chịu trách nhiệm về hành vi của các bạn khi làm theo bài hướng dẫn này
Bây giờ chúng ta bắt tay vào làm web để lừa victim
về vấn đề code thì các bạn có thể lấy ở đâu đó... ví dụ vào facebook sau đó view mã nguồn và lưu lại chả hạn.... hoặc lấy nguồn ai đó share còn các bạn muốn thì mình sẽ share một số code phishing cho các bạn ở bài sau
để tạo tập tin robots.txt bạn mở chương trình Notepad và gõ các lệnh, sau đó lưu lại với tên robots.txt và chép vào thư mục gốc của website.
Để tạo file robots.txt bản mở chương trình notepad và gõ các câu lênh, Sau đó lưu lại với tên file là robot.txt và upload lên thư mục gốc của web
Các lênh cơ bản như sau
User-agent: *
Allow: /duocdocfilenay/
Disallow: /khongdocduocfilenay/
• User-agent: dùng để xác định bot của công cụ tìm kiếm.
• Allow: Cho phép bot vào thư mục nào đó.
• Disallow: Không cho bot đọc file nào đó.
-> Ở ví dụ trên hướng dẫn cho phép bot đọc file duocdocfilenay, và không cho phép bot đọc file khongdocfilenay.
Một số ứng dụng của file robots.txt
1. Chặn không cho bot google vào web
User-agent: *
Disallow: /
- Với những câu lệnh trên trì không có công cụ tìm kiếm nào lập chỉ mục (index) bất kỳ trang nào trong website của ban, nghĩa là các bài viết hay sản phẩm trong website của bạn sẽ không xuất hiện trong kết quả tìm kiếm của google
2. Không cho bot đọc một thư mục hay một trang nào đó
User-agent: *
Disallow: /khongxem.html/
Disallow: /test.html/
- Với những câu lệnh ở trên có nghĩa là cho phép bot đọc tất cả các file trong web trừ 2 file khongxem.html và test.html.
3. Chặn một bót nào đó
User-agent: Spambot
Disallow: /
User-agent: *
Disallow: /image/
- Spambot bị cấm truy cập tất cả các thư mục web còn các web khác được truy cập tất cả các thư mục trừ file image
4. Chỉ cho phép bot đọc một thư mục hoặc một trang nào đó
User-agent: *
Allow: /bai-viet/
Allow: /demo.html
Disallow: /includes/
- Cho phép tất cả các bot truy cập vào thư mục bai-viet và trang demo.html nhưng không được đọc thư mục includes
5. Chặn bot vào nhiều bài có cấu trúc đường dẫn giống nhau
VD Chúng ta có hai đường dẫn như sau
• www.vouuvhb.net/vouuvhb=1235345
• www.vouuvhb.net/vouuvhb1=1345
• ..
Chúng ta muốn chặn bot truy cập vào tất cả các đường dẫn dạng này thì làm thế nào? Các bạn nhìn kỹ sẽ thấy trong 2 URL trên có phần chung là /vouuvhblà cấu trúc giống nhau của 2 hoặc nhiều URL. Chúng ta sẽ chăn bot bằng lệnh sau
Disallow: /vouuvhb*
0 nhận xét:
Post a Comment