Является ли веб-сайт, который нигде не связан, полностью скрыт?

2

Я хочу создать веб-страницу, доступную для просмотра только мне и другому человеку.

Я не хочу использовать какую-либо аутентификацию на нем (имя пользователя / пароль, сертификаты и т. Д.).

У меня вопрос: если я обслуживаю веб-сайт со своего собственного веб-сервера и не помещаю содержимое в корневой каталог на порт 80 (т.е. mywebsite.com/hidden), есть ли способ, которым кто-то другой сможет Найди это? Из того, что я читал о веб-сканерах, они находят только те страницы, на которые есть ссылки. Есть ли другой вектор атаки, о котором я не думаю? Помимо грубого поиска (mywebsite.com/brute/force/this/path)?

webserver nginx web-crawler Cheesegraterr
источник
Если этот человек, с которым вы хотите поделиться сайтом, не входит в вашу интранет-сеть, его может найти любой пользователь в Интернете.
Ramhound
1
Я делаю это все время. Мой основной веб-сайт www.home.web содержит коллекцию подкаталогов, таких как www.home.web / private и www.home.web / media, на которые нет ссылок ни на одной из основных страниц сайта, и которые доступны только для Люди, которые я говорю об адресах. Метод грубой силы может найти их, но он не будет использоваться, если не было причины думать, что они были там. Эти скрытые каталоги никогда не были найдены, но если бы они были, я бы просто изменил имена подкаталогов. Основная уязвимость заключается в том, что если бы трафик на мой сайт отслеживался, в этом случае адреса были бы видны.
AFH
@Ramhound, как это возможно, что кто-то еще мог найти это?
Cheesegraterr
Существует много известных и неизвестных методов отслеживания «скрытых» сайтов. Одним из методов является аддон браузера, который может видеть практически все, что вы делаете. Если вы не хотите, чтобы люди находили его, не размещайте его в Интернете без защиты.
Келтари

Ответы:

3

Вы правы в том, что основной метод обнаружения страниц (например, Google) - это просмотр ссылок. Однако есть и другие способы поиска сайтов.

Например, у Google есть свои собственные службы DNS, которые могут помочь в обнаружении новых сайтов двумя способами:

  1. Если вы зарегистрируете свой домен непосредственно в Google, они наверняка узнают о новом веб-сайте.

  2. Регистрация домена вообще требует публичного распространения, поэтому Google в конечном итоге получит новую запись.

Очевидно, что если вы также разместите сайт на серверах индексатора, они могут попробовать сканировать весь ваш сайт.

Но не похоже, что вы делаете что-то из этого. Если вы пытаетесь защитить только одну страницу / каталог (а не весь домен / сервер), вы не размещаете его в службах индексатора и не регистрируете домен для своего скрытого пути, вашего основного беспокойство должно было бы гарантировать, что индексация каталога не возможна на вашем сайте.

Например, с помощью Apache вы можете сделать это, включив файл .htaccess в корневой каталог с помощью Options -Indexesили удалив Indexesдирективу в самой конфигурации сайта:

<Directory "/path/to/your/site">
    Options Indexes OtherOptions
</Directory>

становится

<Directory "/path/to/your/site">
    Options OtherOptions
</Directory>

В качестве альтернативы, убедитесь, что у вас есть хотя бы файл-заполнитель index.html в каждой папке для обслуживания сервера, а не индекс каталога.

Зиген
источник
0

Добавьте sha256 в качестве имени пути, тогда все будет в порядке. Следите за лог-файлами.

bbaassssiiee
источник