0755-83950760
13410231827

免费咨询热线:

    • 百度站长工具都有那些功能和妙用

    • 百度站长工具都有那些功能和妙用

      Custom Search
      一、摘要设置

      1. 什么是普通摘要?

          普通摘要由标题、内容概要、url和缩略图构成


          缩略图的展现依赖于站长提交数据,即只有在sitemap中包含了thumbnail字段相关数据,才可能展现缩略图。

      2. 什么是结构化摘要?

          结构化摘要是在普通摘要基础上,增加了一些结构化因子。例如下图中的回复数、提问时间。

       


      3. 如何自定义结构化摘要?

          站长配置的结构化因子默认将展现在结果标题下面一行,因子间默认通过短横“-”连接。

          最多可设置5个因子。且当文本长度超出1行时,系统将忽略靠后的因子,不予展现。因此您需要注意控制文本长度,尽量简洁。

          站长自定义内容包括:

      Sitemap字段。只能选择sitemap中包含的字段或属性。目前可选项包括以下16个:

      tag,pubTime,author:nickname,replyCount,property,price:new,price:old,discount:value,

      discount:description,review:rating,review:count,location:address,location:tel,location:area,

      time:startDate,time:endDate

          例如,回复数来自replyCount字段,只有在“sitemap字段”下拉列表中选中replyCount,摘要中才会展现数字“4”。

          * 时间类型的字段,默认都以“YYYY-MM-DD”格式展现。

      A.前缀。即展现在结构化数据前面的文字,例如的前缀是“提问时间: ”。

      B.后缀。和前缀相对应,即展现在结构化数据后面的文字,例如的后缀是“个回答”

          可根据需要选择设置文本前后缀,不是必填项。

      二、筛选功能

          站长可以自定义筛选或排序选项,分组罗列在页面左侧边栏,和结果区域间通过竖线分隔,如下图所示。

       


          筛选功能主要用于帮助搜索用户细化需求,最终定位至所需结果。例如可以按站点频道筛选,按商品价格筛选,按主题分类筛选……只要站长提交了相应数据。

      筛选选项不超过5组。每组最多展现5行,超出部分将被折叠,用户可以点击展开被折叠的选项。

      1.快速生成选项说明:

          站长可以通过选择“全文/标题+时间范围”快速创建2组筛选选项。这两组也会占用“最多5组”的名额。

      (1)全文/标题

         即“在全文中检索/在标题中检索”之意。

         这一组包含“全文”和“标题”2个选项,默认选中“全文”。

      (2)时间范围

         时间范围的筛选选项是固定的,站长无法更改,具体包括:

         1小时内,24小时内,1周内,1月内。

      2.自定义设置说明:

      A.选项命名。即站内检索用户可见的筛选选项文字。

      B.Sitemap字段。可选项有11个:

      tag,breadcrumb:title,breadcrumb:url,replyCount,property,price:price,price:old,discount:value,

      review:rating,review:count,location:area。

          冒号前是sitemap字段,冒号后是字段属性。

      C.规则。可选项包括3种:

          全部——表示不做筛选,展现全部结果。选中“全部”时,value无须设置。

          等于——表示精确匹配,可以面向字符串,也可以面向数字。

          介于之间——通常在数值型字段或属性下有效,当选中该规则时,value可以设置上限和下限2个值。

      D.Value。和规则一起构成筛选条件。当规则为“介于之间”,2个空格至少要填1个。

      三、排序功能

          排序功能允许搜索用户在特定维度下对结果进行重排,以尽快定位至该维度下的top结果。站长可根据特定需求下用户最关注的维度来进行合理配置。例如购买类需求对价格排序的需求较强,可据此引入按价格排序的选项。

          和筛选功能一样,排序功能的使用前提是——站长已提交相关数据。

          排序选项也不超过5组。每组最多展现5行,超出部分将被折叠,用户可以点击展开被折叠的选项。

      1.快速生成选项说明:

          站长可以通过选择“按相关性/按时间”快速创建1组排序选项。它会占用“最多5组”的名额。默认按相关性排序;按时间排序即时间倒序。

      2.自定义设置说明:

      A.选项命名。即站内检索用户可见的排序选项文字。

      B.Sitemap字段。可选项包含以下9个:

      pubTime,replyCount,price:price,price:old,discount:value,review:rating,review:count,

      time:startDate,time:endDate。

          冒号前是sitemap字段,冒号后是字段属性。

      C.规则。可选项只有2个:升序,降序。


      搜索关键词工具
      什么是搜索关键词及其展现量、点击量、点击率、网页链接举例?

      搜索关键词:用户在搜索时输入的查询词即搜索关键词;

      展现量:用户查询某一关键词时搜索结果中展现您的网站的次数;

      点击量:某一关键词下,用户点击进入您网站的次数;

      点击率:上述的点击量与展现量比值;

      网页链接举例:用户选择点击进入的您网站链接的举例,选取的是在该关键词下用户点击量TOP3的网页链接。

      什么是热门关键词?

      热门关键词:针对您的网站,用户查询时搜索结果中展现您的网站次数较多的关键词。


      什么是定制关键词?如何定制关键词?

      定制关键词:除了我们给您推送的热门关键词,您还可以个性化设置自己所关注的关键词。点击定制关键词页面的右上角按钮“设置关键词”进行设置,最多可设置50个。


      使用搜索关键词查询工具能给您带来什么?

      使用关键词查询工具可帮助站长查询其站点的热门关键词的来源,以及关键词在搜索结果中的展现次数,每个关键词下点击进入您网站次数的点击次数,点击次数/展现次数得到的点击率,并给出网页链接举例。

      比如,热门关键词中出现点击率较低的情况,可查看是否标题设置或搜索结果页的展示有优化的空间,进行重点优化,提高网站热门关键词所带来的流量,给网站运营提供重要参考。

      再如,您可以通过查看网页链接举例,看到在某个关键词下,用户点击量TOP3的网页链接,表示用户在某关键词下关于页面的喜欢和投票,TOP3的网页链接样例给运营带来重点优化指导。

      还有,除了参考我们推荐的热门关键词,您还可以使用个性化定制功能,跟踪监控您设置的关键词,进行有重点有目标的追踪优化推广效果。


      Sitemap工具
      Sitemap工具常见问题


      1.什么是Sitemap?

      2.如何制作sitemap?

      3.如何提交Sitemap?

      一、什么是Sitemap?

      Sitemap(即站点地图)就是您网站上各网页的列表。创建并提交Sitemap有助于百度发现并了解您网站上的所有网页。您还可以使用Sitemap提供有关您网站的其他信息,如上次更新日期、Sitemap文件的更新频率等,供百度Spider参考。

      百度对已提交的数据,不保证一定会抓取及索引所有网址。但是,我们会使用Sitemap中的数据来了解网站的结构等信息,这样可以帮助我们改进抓取策略,并在日后能更好地对网站进行抓取。

      此外,Sitemap 与搜索排名没有关系。

      二、如何制作Sitemap?

      制作Sitemap文件分三种格式:xml格式、文本格式、Sitemap索引格式
      根据格式不同制作方法不同,常用的是XML和文本格式的Sitemap,每种格式中需采用的标签以及制作详细见:http://www.baidu.com/search/sitemap_help.html#05,详细的样例如下:

      1.第一种格式样例:xml格式

      在制作sitemap之前,请您先了解完整单个xml数据格式如下:

      <?xml  version="1.0" encoding="utf-8"?> XML文件需以utf-8编码
      <urlset> 必填标签
      <url> 必填标签,这是具体某一个链接的定义入口,每一条数据都要用<url>和</url>包含在里面,这是必须的
      <loc>http://www.yoursite.html/yoursite.html</loc> 必填,URL链接地址,长度不得超过256字节
      <lastmod>2009-12-14</lastmod> 选填,用来指定该链接的最后更新时间
      <changefreq>daily</changefreq> 选填,用这个标签告诉此链接可能会出现的更新频率
      <priority>0.8</priority> 选填,可以不提交该标签,用来指定此链接相对于其他链接的优先权比值,此值定于0.0-1.0之间
      </url>
       
      </urlset>
       

      上述xml sitemap向百度提交了一个url:http://www.yoursite.html/yoursite.html

      如提交一个url即按照上述格式,列明所有url地址,打包到一个xml文件,向站长平台进行提交

      2.第二种格式样例:txt文本格式

      http://www.example.com/repaste/101562698_5230191316.html
      http://www.example.com/repaste/101586283_5230215075.html
      http://www.example.com/repaste/101639435_5230310576.html
      http://www.example.com/repaste/6517613_5230376160.html
      http://www.example.com/repaste/27763261_5230387505.html
      http://www.example.com/repaste/1549708_5230538298.html
      http://www.example.com/repaste/122747_5230633779.html
      http://www.example.com/repaste/2523496_5230671895.htm


          此文本文件需要遵循以下指南:

      文本文件每行都必须有一个网址。网址中不能有换行。

      您必须指定完整的网址,包括 http。

      每个文本文件最多可包含 50,000 个网址,并且应小于10MB(10,485,760字节)。如果网站所包含的网址超过 50,000 个,则可将列表分割成多个文本文件,然后分别添加每个文件。

      文本文件需使用 UTF-8 编码或GBK编码。

      文本文件不应包含网址列表以外的任何信息。
       

      在一个Txt文本列明上述需要向百度提交的链接地址,将Txt文本文件通过站长平台进行提交

      3.第三种格式样例:Sitemap索引格式

      <?xml version="1.0"  encoding="UTF-8" ?>  XML文件需以utf-8编码
      <sitemapindex> 必填,以 <sitemapindex> 开始标记作为开始,以 </sitemapindex> 结束标记作为结束
      <sitemap> 必填,以<sitemap>标签提交一个子sitemap文件,可重复
      <loc>http://example.com/ext/xmlsitemap/add/201201/index_20120106.xml</loc> 必填,识别sitemap的位置
      <lastmod>2012-01-06</lastmod> 选填,识别相对sitemap文件的修改时间 
      </sitemap>
       
      </sitemapindex>
       

      如需提交多个Sitemap文件,则可使用Sitemap索引文件

      三、如何提交Sitemap?

      第一步,将需提交的网页列表制作成一个sitemap文件,制作方法请参阅帮助文档

      第二步,将sitemap文件放置在网站根目录下

      比如您的网站为example.com,您已制作了一个sitemap_ example.xml 的sitemap文件,则将sitemap_ example.xml上传至网站根目录即example.com/ sitemap_ example.xml

      第三步,登录百度站长平台

      第四步,提交网站并验证归属:具体验证网站归属方法可见帮助文档

      第五步,提交sitemap数据

      1.验证网站归属后,点击左侧“sitemap”

      2.点击右侧“添加新数据”

      3.提交sitemap文件:填写sitemap文件地址(如:www.example.com/sitemap_example.xml),选择更新时间,进行提交

      4.管理已提交的sitemap列表

      提交完之后,可在sitemap列表里看到提交的sitemap文件,如果sitemap文件里面有新的网站链接,可以选择文件后,点击更新所选,即对更新的网站链接进行了提交

       


      百度索引量工具
      一、什么是站点索引量?

      站点中有多少页面可以作为搜索候选结果,就是一个网站的索引量。

      站点内容页面需要经过搜索引擎的抓取和层层筛选后,方可在搜索结果中展现给用户。页面通过系统筛选,并被作为搜索候选结果的过程,即为建立索引。

      目前site语法的数值是索引量估算值,比较不准。推荐站长们使用我们的新工具,同时我们也正在努力改进site语法。

      二、如何使用百度索引量工具?

      第一步,注册并登录百度站长平台;

      第二步,提交网站并验证归属,具体验证网站归属方法可见帮助文档;

      第三步,选择左侧“百度索引量”;

      第四步,得到站点的百度索引量数据。


      死链提交工具
      1.什么是死链?

      2.为什么要使用死链提交工具?

      3.如何使用死链提交工具?

      一、什么是死链?

       


      页面已经无效,无法对用户提供任何有价值信息的页面就是死链接,包括协议死链和内容死链两种形式。

      1.协议死链:页面的TCP协议状态/HTTP协议状态明确表示的死链,常见的如404、403、503状态等。

      2.内容死链:服务器返回状态是正常的,但内容已经变更为不存在、已删除或需要权限等与原内容无关的信息页面。

      二、为什么要使用死链提交工具?

      当网站死链数据累积过多时,并且被展示到搜索结果页中,对网站本身的访问体验和用户转化都起到了负面影响。另一方面,百度检查死链的流程也会为网站带来额外负担,影响网站其他正常页面的抓取和索引。

      三、如何使用死链提交工具?

      第一步,处理网站已存在的死链,制作死链文件筛查网站内部存在的死链,并将这些死链页面设置成为404页面,即百度访问它们时返回404代码。将需提交的死链列表制作成一个死链文件,制作方法请参阅帮助文档(与sitemap格式及制作方法一致)

      第二步,将死链文件放置在网站根目录下

      比如您的网站为example.com,您已制作了一个silian_example.xml死链文件,则将silian_example.xml上传至网站根目录即example.com/silian_example.xml

      第三步,登录百度站长平台

      第四步,提交网站并验证归属:具体验证网站归属方法可见帮助文档

      第五步,提交死链数据

      1.选中左侧“死链提交”

      2.点击右侧“添加新数据”

      3.提交死链文件:填写死链文件地址(如:www.example.com/silian_example.xml),选择更新时间,进行提交

      4.管理已提交的死链列表

      提交完之后,可在死链工具列表里看到提交的死链文件,如果死链文件里面有新的死链,可以选择文件后,点击更新所选,即对更新的死链链接进行了提交


      外链分析工具
      1.什么是外链?

      外链是指从别的网站(B)导入到自己网站(A)的链接。

      2. 如何使用外链工具?

      第一步,注册并登录百度站长平台
      第二步,提交网站并验证归属,具体验证网站归属方法可见帮助文档      
      第三步,选择左侧“外链分析”
      第四步,在已认证归属的站点列表中选择需要查询的站点
      第五步,可查看自己网站的外链详情


      抓取异常工具
      1.什么是抓取异常?

      2.抓取异常对网站的影响有哪些?

      3.什么是死链?

      4.什么是IP禁封?

      5.什么是UA禁封?

      6.什么是异常重定向?

      7.还有哪些其他异常?

      一、什么是抓取异常?

      对于互联网中可正常访问的内容,百度spider抓取的结果应与普通用户访问的内容是一致的,除此以外的情况,就是抓取异常。

      二、抓取异常对网站的影响有哪些?

      对于大量内容无法正常抓取的网站,搜索引擎会认为网站存在用户体验上的缺陷,并降低对网站的评价,在抓取、索引、权重上都会受到一定程度的负面影响,最终影响到网站从百度获取的流量。

      三、什么是死链?

      页面已经无效,无法对用户提供任何有价值信息的页面就是死链接,包括协议死链和内容死链两种形式。

      协议死链:页面的TCP协议状态/HTTP协议状态明确表示的死链,常见的如404、403、503状态等。

      内容死链:服务器返回状态是正常的,但内容已经变更为不存在、已删除或需要权限等与原内容无关的信息页面。

      对于死链,建议通过百度站长平台--死链工具提交死链的方式进行处理,以便搜索引擎更快地发现死链,减少死链对用户以及搜索引擎造成的负面影响。

      四、什么是IP禁封?

      限制网络的出口IP地址,禁止该IP段的使用者进行内容访问,即为IP禁封。

      五、什么是UA禁封?

      UA即为用户代理(User-Agent),服务器通过UA识别访问者的身份。当网站针对指定UA的访问,返回异常页面(如403,500)或跳转到其他页面的情况,即为UA禁封。

      六、什么是异常重定向?

      将网络请求重新指向其他位置即为重定向。异常重定向指的是以下几种情况

      1.当前该页面为无效页面(内容已删除、死链等),直接跳转到前一目录或者首页,百度建议站长将该无效页面的入口超链接删除掉

      2.重定向到出错或者无效页面

      3.重定向的跳转超过3次,也为异常

          注意:对于长时间跳转到其他域名的情况,如网站更换域名,百度建议使用301跳转协议进行设置。

      七、还有哪些其他异常?

       1.针对百度refer的异常:网页针对来自百度的refer返回不同于正常内容的行为。

       2.针对百度ua的异常:网页对百度UA返回不同于页面原内容的行为。

       3.JS跳转异常:网页加载了百度无法识别的JS跳转代码,使得用户通过搜索结果进入页面后发生了跳转的情况。

       4.压力过大引起的偶然封禁:百度会根据站点的规模,访问量等信息,自动设定一个合理的抓取压力。但是在异常情况下,如压力控制失常时,服务器会根据自身负荷进行保护性的偶然封禁。这种情况下,请在返回码中返回503(其含义是“Service Unavailable”),这样百度spider会过段时间再来尝试抓取这个链接,如果网站已空闲,则会被成功抓取。


      压力反馈工具
      1.什么是抓取压力?

       


      抓取压力即搜索引擎在单位时间内对一个网站服务器访问的频率和总次数。

       

      2.Baiduspider对一个网站服务器造成的访问压力如何?

       


          为了达到对目标资源较好的检索效果,Baiduspider需要对您的网站保持一定量的抓取。我们尽量不给网站带来不合理的负担,并会根据服务器承受能力,网站质量,网站更新等综合因素来进行调整。

       


      3.为什么要用压力反馈工具?

       


          站长可以通过此工具查看自己站点被百度spider访问的情况,并可调节百度spider每天访问您网站的压力值,百度也会根据服务器压力自动调整抓取频率,同时建议您慎重调节此抓取压力值,以避免网站抓取异常,工具包括以下两点功能:

      查看最近一个月的天级抓取量趋势图

      压力情况反馈,可调节天级抓取压力的大小,调整的数据作为参考,不保证生效

      4.如何使用压力反馈工具?

       


      第一步,注册并登录百度站长平台

      第二步,提交网站并验证归属,具体验证网站归属方法可见帮助文档

      第三步,选择左侧“压力反馈”

      第四步,在已认证归属的站点列表中选择需要查询的站点

      第五步,得到站点抓取压力曲线图及压力调整入口页面

       
      网站改版工具
      网站改版的注意事项

      当您的网站进行改版(如更换域名或大量链接短期内发生永久性跳转),为保证新资源及时被收录、索引量和展现效果不出现大幅波动,我们建议步骤如下:

      首先使用301跳转将所有页面进行重定向

      再来站长平台使用网站改版工具通知百度您网站新旧改版规则(新旧网站均需验证)

      提交的信息会先进行系统校验,校验周期一般为一周左右。校验通过后,更改生效需要一段时间,期间可以通过以下一些方法来查看该过程是否正常运行:

      关注新网站的抓取异常情况,短期内适当提升抓取压力帮助新网站更快抓取

      关注新网站的索引量波动,关注网站改版工具显示的已替换链接条数

      同时对旧网站的域还需保留一段时间,直到新网站在百度索引和展现效果佳

       

       

      如何向百度提交网站改版规则

      若只是更换域名(即改版前后的url长相除站点不同外,其他均一致),首先新确保旧网站均已验证所有权,然后到网站改版工具的“域名更换规则”,从已验证网站列表中选择新网站,点击提交即可。提交后注意关注系统反馈的校验信息,校验周期一般为一周左右。

      您如果正在进行比更换域名更复杂的改版,比如目录级别大量链接进行跳转,还可以向我们提交更高级的规则。到网站改版工具的“高级规则”,点击“添加改版规则”;在弹框内输入改版规则,以及两组新旧url样例帮助校验规则;填完后点击提交。提交后注意关注系统反馈的校验信息,校验周期一般为一周左右。校验通过后,在改版工具页面中也会显示站内新旧url替换的进度。

       

      如何编写高级规则中的url替换规则

      规则说明:#表示数字,*表示任意字符,<>会将其最临近的字符串(*或#或XXX)替换为<>内的字符串

      如example.com改版时精简参数,提交以下

      改版规则"example.com/u/*/article_*.html<.html>?fp=<>#<>",

      旧版url"example.com/u/555/article_123.html?fp=1"可以通过规则匹配到

      新版url"example.com/u/555/article_123.html"。

      同时务必注意,这两个页面已经进行了301重定向。

       


      又如example.com改版时更改了目录名称并精简部分参数,提交以下

      改版规则"example.com/iknow/<example.com/user/>user?userid=<>#",

      旧版url"example.com/iknow/user?userid=123456789"可以通过规则匹配到

      新版url"example.comh/user/123456789"。

      同时务必注意,这两个页面已经进行了301重定向。


      安全检测工具
      一、被黑类型说明

      1.挂马

      挂马指网站被黑客通过入侵手段拿到修改页面的权限,在网页的源代码中插入网页木马(恶意代码),用户在访问网页时就会运行网页木马受到漏洞攻击,从而自动下载并执行病毒木马程序。

      网站被挂马会导致访问网站的用户电脑感染病毒木马,可能会遭受远程控制、泄露文档资料、账户密码等信息,危害极大。网站在被其他人发现存在挂马后,搜索引擎、杀毒软件、浏览器等会进行拦截用户访问,直接导致网站不可访问,流失大量用户。

      2.钓鱼

      钓鱼是指页面仿冒某知名网站,让用户以为是正规网站,给用户造成损失。

      3.欺诈

      页面中存在欺骗用户、虚假的内容。

      4.违规内容

      内容存在违法信息,或者出于违法的灰色地带。

      二、被黑修复建议

      1.挂马

      要完全解决网站被挂马的问题,不仅要查出被恶意代码感染的网页,还需要修复网站漏洞,阻止黑客再次挂马的可能性。

      通常情况下,网站被挂马说明黑客已经入侵成功并且取得修改网页的权限,才可以在网页里插入恶意代码,因此首要解决被入侵的根源,通过使用Web漏洞扫描器或者分析网站访问历史日志,找到黑客攻击的网站漏洞,对漏洞进行修补,并且及时查找、清除黑客留下的后门程序。

      2.钓鱼、欺诈、违规内容

      请确认您的网站是否存在钓鱼、欺诈、违规内容的情况,如果不存在可能是被黑,请排查自己的网站,如果不知如何排查可以使用知道创宇了解详细信息。


      漏洞检测工具
      漏洞检测工具常见问题

      1.漏洞类型说明

      2.漏洞的危害

      3.漏洞解决方案

      一、漏洞类型说明

      1、  高危漏洞

      高危漏洞包括:SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。

      SQL注入漏洞:网站程序忽略了对输入字符串中包含的SQL语句的检查,使得包含的SQL语句被数据库误认为是合法的SQL指令而运行,导致数据库中各种敏感数据被盗取、更改或删除。

      XSS跨站脚本漏洞:网站程序忽略了对输入字符串中特殊字符与字符串(如<>'"<script><iframe>onload)的检查,使得攻击者可以欺骗用户访问包含恶意JavaScript代码的页面,使得恶意代码在用户浏览器中执行,从而导致目标用户权限被盗取或数据被篡改。

      页面存在源代码泄露:页面存在源代码泄露,可能导致网站服务的关键逻辑、配置的账号密码泄露,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。

      网站存在备份文件:网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。

      网站存在包含SVN信息的文件:网站存在包含SVN信息的文件,这是网站源码的版本控制器私有文件,里面包含SVN服务的地址、提交的私有文件名、SVN用户名等信息,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

      网站存在Resin任意文件读取漏洞:安装某些版本Resin服务器的网站存在可读取任意文件的漏洞,攻击者利用该漏洞可以读取网站服务器的任意文件内容,导致网站被黑。

      2、  中危漏洞

      中危漏洞包括:网站存在目录浏览漏洞、网站存在PHPINFO文件、网站存在服务器环境探针文件、网站存在日志信息文件、网站存在JSP示例文件。

      网站存在目录浏览漏洞:网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。

      网站存在PHPINFO文件:网站存在PHPINFO文件,这个是PHP特有的信息文件,会导致网站的大量架构信息泄露,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

      网站存在服务器环境探针文件:网站存在服务器环境探针文件,该文件会导致网站的大量架构信息泄露,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

      网站存在日志信息文件:网站存在日志信息文件,该文件包含的错误信息会导致网站的一些架构信息泄露,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

      网站存在JSP示例文件:网站存在JSP示例文件,该文件的弱口令会导致网站的大量架构信息泄露,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

      3、低危漏洞

      低危漏洞包括:页面上存在网站程序的调试信息、网站存在后台登录地址、网站存在服务端统计信息文件、网站存在敏感目录。

      页面上存在网站程序的调试信息:页面上存在数据库信息,例如数据库名、数据库管理员名,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

      网站存在后台登录地址:网站存在后台登录地址,攻击者经常使用这个地址进行网站的后台登陆,比如弱密码、表单绕过、暴力破解等,从而得到网站的权限。

      网站存在服务端统计信息文件:网站存在服务端统计信息文件,该文件会导致网站的一些架构信息泄露,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

      网站存在敏感目录:网站存在敏感目录,例如 /upload  /database  /bak,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

      容。返回页首

       


      二、漏洞的危害


      SQL注入漏洞

      SQL注入漏洞的危害不仅体现在数据库层面,还有可能危及承载数据库的操作系统;如果SQL注入被用来挂马,还可能用来传播恶意软件等,这些危害包括但不限于:

      数据库信息泄漏:数据库中存储的用户隐私信息泄露。

      网页篡改:通过操作数据库对特定网页进行篡改。

      网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。

      数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。

      服务器被远程控制,被安装后门:经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。

      破坏硬盘数据,瘫痪全系统。

      XSS跨站脚本漏洞

      XSS跨站脚本漏洞的危害包括但不限于:

      钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。

      网站挂马:跨站后利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。

      身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取用户的Cookie,从而利用该Cookie获取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发巨大的危害。

      盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份时,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。

      垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群体。

      劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。

      XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。

      信息泄露漏洞

      CGI漏洞

      CGI漏洞大多分为以下几种类型:信息泄露、命令执行和溢出,因此危害的严重程度不一。信息泄露会暴露服务器的敏感信息,使攻击者能够通过泄露的信息进行进一步入侵;命令执行会对服务器的安全造成直接的影响,如执行任意系统命令;溢出往往能够让攻击者直接控制目标服务器,危害重大。

      内容泄露漏洞

      内容泄露漏洞,会被攻击者利用导致其它类型的攻击,危害包括但不局限于:

      内网ip泄露:可能会使攻击者渗透进入内网产生更大危害。

      数据库信息泄露:让攻击者知道数据库类型,会降低攻击难度。

      网站调试信息泄露:可能让攻击者知道网站使用的编程语言,使用的框架等,降低攻击难度。

      网站目录结构泄露:攻击者容易发现敏感文件。

      绝对路径泄露:某些攻击手段依赖网站的绝对路径,比如用SQL注入写webshell。

      电子邮件泄露:邮件泄露可能会被垃圾邮件骚扰,还可能被攻击者利用社会工程学手段获取更多信息,扩大危害。

      文件泄露漏洞

          敏感文件的泄露可能会导致重要信息的泄露,进而扩大安全威胁,这些危害包括但不局限于:

      帐号密码泄漏:可能导致攻击者直接操作网站后台或数据库,进行一些可能有危害的操作。

      源码泄露:可能会让攻击者从源码中分析出更多其它的漏洞,如SQL注入,文件上传,代码执行等。

      系统用户泄露:可能会方便暴力破解系统密码。

       

      三、漏洞解决方案

      SQL注入漏洞:

      1.解决SQL注入漏洞的关键是对所有来自用户输入的数据进行严格检查、对数据库配置使用最小权限原则

      2.所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。

      3.对进入数据库的特殊字符('"\<>&*;等)进行转义处理,或编码转换。

      4.确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。

      5.数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。

      6.网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。

      7.严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。

      8.避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。

      9.在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞。

      XSS跨站脚本漏洞:

      1.假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。

      2.不要仅仅验证数据的类型,还要验证其格式、长度、范围和内容。

      3.不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。

      4.对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。

      5.在网站发布之前建议测试所有已知的威胁。

      页面存在源代码泄露:

      1. 配置好服务端语言解析,防止解析失败而导致源码泄露;

      2. 关闭网站错误调试机制,防止因为报错而导致源码泄露。

      网站存在备份文件:删除检测出的备份文件,或者将这类文件从网站目录下移走。

      网站存在包含SVN信息的文件:删除网站目录下的SVN信息,不要使用SVN目录作为网站的目录。

      网站存在Resin任意文件读取漏洞:删除resin_doc相关目录与文件。

      网站存在目录浏览漏洞:关闭Web容器(如IIS/Apache等)的目录浏览功能,比如:

      1.IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS;

      2.Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找 “Options Indexes FollowSymLinks”,修改为“ Options -Indexes”(减号表示取消),保存退出,重启Apache。

      网站存在PHPINFO文件:删除检测出的PHPINFO文件。

      网站存在服务器环境探针文件:删除检测出的探针文件,比如:iprober.php、phpcheck.php、jspcheck.jsp、DotNetInfo.aspx、aspcheck.asp等。

      网站存在日志信息文件:删除检测出的日志信息文件。

      网站存在JSP示例文件:删除JSP示例文件。

      页面上存在数据库信息:关闭数据库的错误调试机制,防止因为SQL语句错误导致数据库报错信息显示到页面上。

      页面上存在网站程序的调试信息:关闭网站程序的调试机制,这个机制经常被用于网站的测试调试,该机制能显示出很详细的网站报错信息。

      网站存在后台登录地址:

      1.将后台登录地址隐藏,改个不容易猜到的路径;

      2.配置好后台登录地址的访问权限,比如只允许某个IP或IP段的用户访问。

      网站存在服务端统计信息文件:删除检测出的服务端统计信息文件。

      网站存在敏感目录:这些目录经常用于存放敏感的文件,可以考虑从网站目录中分离出,或改个不易猜测到的路径,并配置好访问权限。


      开放适配工具
      开放适配工具常见问题
      什么是开放适配?

      为什么要使用对应关系提交工具?

      如何使用对应关系提交工具?

      如何进行手机站优化?

      如何提升开放适配效果?

      如何制作对应关系sitemap文件(url级别)?

      如何制作对应关系sitemap文件(pattern级别)?

      什么是开放适配?

      为了提升用户的移动搜索结果浏览体验,百度移动搜索对具有对应手机站的PC站提供“开放适配”服务。如果您同时拥有PC站和手机站,且二者能够在内容上对应,您可向百度“提交”PC页—手机页的对应关系,若对应关系准确,将有助于百度在移动搜索中将原PC页结果替换为对应的手机页结果。积极的参与“开放适配”,将有助于您的手机站在百度移动搜索获得更好的展现,同时以更佳的浏览效果赢取用户口碑。了解更多,请点击http://zhanzhang.baidu.com/wiki/39


      为什么要使用对应关系提交工具?

      对应关系提交工具可以实现url级别或pattern级别的PC页与手机页的对应关系提交,若对应关系准确,有助于百度在移动搜索中将PC页结果替换为对应的手机页结果。

      如何使用对应关系提交工具?

      注册并登录百度站长平台

      提交PC网站并验证归属,具体验证网站归属方法可见帮助文档


      点击网站名称下具体需要进行适配的PC站,进入“站点工具”——“开放适配工具”——“对应关系提交”

       站点根据自己提交的sitemap类型,选择url级别(制作方式请点击查看)或者pattern级别(制作方式请点击查看)。
      注:站点更新数据的方式

      当对应关系sitemap文件地址不变(比如www.a.com/sitemap.xml),只是更新对应关系sitemap文件内容时,无需在平台操作,站点只需按照约定的更新周期自主更新对应关系sitemap文件内容即可,百度会自动进行抓取。

      当对应关系sitemap文件地址发生变化(比如从www.a.com/sitemap.xml变更为www.a.com/sitemap1.xml),请重新提交新的对应关系sitemap文件。

      特别注意,当对应关系sitemap文件地址发生主域变化(比如从www.a.com/sitemap.xml变更为www.b.com/sitemap.xml),请验证您对新主域的归属,然后提交新的对应关系sitemap文件。


      如何进行手机站优化?

      参与并持续进行开放适配将有助于百度在移动搜索中将原PC页结果替换为对应的手机页结果。

      加强手机站自身建设, 优化页面结构和内容,对用户和移动搜索引擎更加友好。百度为手机站提供建站规范和收录标准,详情请点击

      如何提升开放适配效果?

      首先,对已有的对应关系持续进行适配,同时不断建设新的对应关系,增加适配覆盖的范围。
      其次,要确保已经标注/提交的对应关系对应准确。以下是常见的对应不准确错误,请网站进行自查,并及时修改。

      手机页不可用,比如死链。

      robots封禁。放开对百度spider的robots封禁和屏蔽,以便spider获取您PC站与手机站之间的对应关系。

      手机页使用了ajax等异步加载的方法加载内容主体。

      格式错误。包括meta标注的位置、格式错误,对应关系sitemap格式错误等。

      对应关系错误

      当PC页为内容页时,应该适配到对应的手机页内容页,而实际却适配到手机页的首页/列表页。
      例如PC页为http://www.qidian.com/Book/2083259.aspx,适配后的手机页为http://qidian.cn/?from=web

      手机页本身无主体内容/主体内容过少。

      手机页需登录才能浏览主体内容。

      PC页内容与手机页内容不存在一一对应关系。
      正确的对应关系示例:
      PC页http://sports.sina.com.cn/j/2012-08-13/23516189909.shtml
      手机页http://sports.sina.cn/?sa=d4634022t24v4&cid=797&pos=10&vt=4


      如何制作对应关系sitemap文件(url级别)?


      通过XML文件描述url级别的PC页与手机页的对应关系,网站当前有对应关系的所有PC页面url均需要给出。(xml格式sitemap的基础制作方法可点击了解)

      具体的对应关系sitemap(url级别)格式如下:


      <?xml version="1.0"encoding="UTF-8"?>
      <urlset> 
      <url>
      <!--必填标签,表示PC页的url地址 -->
      <loc><![CDATA[http://www.yoursite.html/yoursite.html]]></loc>
      <data>
      <display>
      <!—可选标签,表示该PC页对应的html5版式的手机页的url地址 -->
      <html5_url><![CDATA[http://html5.yoursite.html/yoursite.html]]></html5_url>
      <!—可选标签,表示该PC页对应的wml版式的手机页的url地址 -->
      <wml_url><![CDATA[http://wml.yoursite.html/yoursite.html]]></wml_url>
      <!—可选标签,表示该PC页对应的xhtml版式的手机页的url地址 -->
      <xhtml_url><![CDATA[http://xhtml.yoursite.html/yoursite.html]]></xhtml_url>
      </display>
      </data>
      </url>

      </urlset>

      例如:

      <?xmlversion="1.0" encoding="UTF-8"?>
      <urlset>
      <url>
      <loc><![CDATA[http://www.sina.com.cn/]]></loc>
      <data>
      <display>
      <html5_url><![CDATA[http://html5.sina.com.cn/]]></html5_url>
      <wml_url><![CDATA[http://wml.sina.com.cn/]]></wml_url>
      <xhtml_url><![CDATA[http://3g.sina.com.cn/]]></xhtml_url>
      </display>
      </data>
      </url>
      <url>
      <loc><![CDATA[http://www.sohu.com/]]></loc>
      <data>
      <display>
      <html5_url><![CDATA[http://html5.sohu.com/]]></html5_url>
      <wml_url><![CDATA[http://wml.sohu.com/]]></wml_url>
      <xhtml_url><![CDATA[http://3g.sohu.com/]]></xhtml_url>
      </display>
      </data>
      </url>
      </urlset>

      如何制作对应关系sitemap文件(pattern级别)?

      1、格式
      Pattern级别对应关系提交支持XML sitemap的形式,每个xml sitemap文件可包含1组或者多组pattern对应关系。格式说明如下:


      标签名称 标签说明 标签限制 标签路径 可选/必选
      urlset 唯一的根节点,标记整个文档的开头和结尾 / / 必选
      url url标记每组pattern的开始和结束 1个或多个 /urlset 必选
      loc 表示PC站点的网址首页 最大长度256个字符,以"http://"开头 /urlset/url 必选
      pc_url_pattern 表示该PC页的url pattern 最大长度256个字符,以"http://"开头 /urlset/url/data/display 必选
      html5_url_pattern 表示PC页对应的html5版式的手机页的url pattern 最大长度256个字符,以"http://"开头 /urlset/url/data/display 可选
      wml_url_pattern 表示PC页对应的wml版式的手机页的url pattern 最大长度256个字符,以"http://"开头 /urlset/url/data/display 可选
      xhtml_url_pattern 表示PC页对应的xhtml版式的手机页的url pattern 最大长度256个字符,以"http://"开头 /urlset/url/data/display 可选

      各URL字段可以被CDATA标记包含,如<![CDATA[url]]> 。
      示例:

      <?xml version="1.0"encoding="UTF-8"?>

      <urlset>

      <!-- 表示news.163.com下的一组pattern对应关系-->

      <url>

      <loc><![CDATA[http://news.163.com/]]></loc>                                

      <data>

      <display>


      <pc_url_pattern><![CDATA[http://news.163.com/(\d+)/(\d+)/(\d+)/(\w+).html]]></pc_url_pattern>
      <xhtml_url_pattern ><![CDATA[http://3g.163.com/news/${1}/${2}/${3}/${4}.html]]></xhtml_url_pattern>

      <wml_url_pattern ><![CDATA[http://wap.163.com/wml/page/ntes/${1}/${2}/${3}/${4}.wml]]></wml_url_pattern>

      </display>

      </data>

      </url>

      2、字段详细说明


      pc_url_pattern: 表示PC页pattern,在PC页url的基础上,首先确定url中哪些路径或参数是可替换的。然后根据其类型,使用正则匹配符号(\d+)或者(\w+)表示该路径或参数。(\d+)表示纯数字字符串,(\w+)表示数字或字母组成的字符串。

      xhtml_url_pattern / html5_url_pattern/ wml_url_pattern:表示xhtml/html5/wml版式的手机页pattern,在手机页url的基础上,根据可替换参数在对应的PC页pattern中出现的顺序,依次用${1},${2},……表示该参数。

      3、举例


      以网易的新闻页“漫游接电话移动也不要钱了”为例,其PC页url地址为http://news.163.com/09/1001/07/5KH8DE1F000120GR.html, 其对应的xhtml格式的手机页url地址为http://3g.163.com/news/09/1001/07/5KH8DE1F000120GR.html

      步骤一:确定PC页中的可替换参数或者路径,得到其位置序号和类型。

       


      根据网站自身url的层次结构,其中09,1001,07和5KH8DE1F000120GR为动态可替换的路径。除5KH8DE1F000120GR为字母和数字混合外,其余均为纯数字。

      步骤二:根据可替换参数或路径的类型,得到PC页pattern (即sitemap中的pc_url_pattern)。
      使用正则匹配符号(\d+)或者(\w+)表示该路径或参数。(\d+)表示纯数字字符串,(\w+)表示数字或字母组成的字符串。

       

      步骤三:根据手机页url,以及可替换参数在步骤一中的位置序号,依次用${1},${2},……表示替换掉手机页url中的可替换参数或路径,得到手机页pattern。

       


      例子中,依次用${1},${2},${3}和${4}替换掉09,1001,07和5KH8DE1F000120GR,得到手机页pattern为http://3g.163.com/news/${1}/${2}/${3}/${4}.html

      步骤四:根据手机页的页面类型,将手机页pattern写入对应的字段。各字段可以用CDATA标记包含,如<![CDATA[url]]>  。
      如示例中该pattern的手机页面为xhtml版式,将pattern http://3g.163.com/news/${1}/${2}/${3}/${4}.html 写入到xhtml_url_pattern字段中。
      最终得到sitemap文件如下:

      <?xml version="1.0"encoding="UTF-8"?>

      <urlset>

      <!—表示news.163.com下的一组pattern对应关系-->

      <url>

      <loc><![CDATA[http://news.163.com/]]></loc>
      <data>
      <display>

      <pc_url_pattern><![CDATA[http://news.163.com/(\d+)/(\d+)/(\d+)/(\w+).html]]></pc_url_pattern>

      <xhtml_url_pattern ><![CDATA[http://3g.163.com/news/${1}/${2}/${3}/${4}.html]]></xhtml_url_pattern>

      <!-- 一组PC pattern可能含有多个版式的手机页pattern -->

      </display>

      </data>

      </url>

      <!-- 下一组pattern放在一个新的url节点内 -->

      </urlset>

       


      备注


      通过sitemap只能提交具有简单对应关系的pattern,也即,在PC页url与手机页路径或参数之间存在直接的对应关系,使得机器能根据PC页url按照一定的正则pattern自动计算出与其对应的手机页的url。如http://news.sina.com.cn/c/2012-05-27/235824487992.shtmlhttp://news.sina.cn/?sa=t124v71d6155414&amp;pos=102&vt=4虽然是对应的,但是从url本身很难找到联系,就不属于简单对应关系。

      正则匹配符号只支持(\d+)和(\w+),且不可嵌套使用,如(d+(\w+))这种形式不合法。域名中不可出现正则匹配符号。

      pattern中,站长无需对特殊字符进行转义,例如不需要用\.代替. ,不需要用&amp;代替&。

      pattern级别对应关系和url级别对应关系的sitemap格式不一样,请分别制作不同的文件并分开提交。

       深圳自由人网络科技专业的深圳网站建设 深圳网站设  深圳建网站   企业网站建设公司长期的几点小结

       

    • 上一篇: 友情链接分类调用代码-1    下一篇: 网站设计推广-深圳自由人网站建设细解刨