每天您是否收到數(shù)封垃圾郵件，每天您是否接到無(wú)數(shù)“騷擾”電話，每天您是否會(huì)收到數(shù)條垃圾短信，也許三個(gè)也許中都是肯定，這一切毫無(wú)例外都會(huì)耗費(fèi)您生命中的時(shí)間，可是您是否曾經(jīng)深入思考過為什么您老是收到這些“贈(zèng)品”，其實(shí)收到這些贈(zèng)品的最直接原因就是您的個(gè)人信息被泄漏了。網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，給生活帶來(lái)便利的同時(shí)，也帶來(lái)了許多新的問題，網(wǎng)站信息泄漏是個(gè)人信息泄漏的一個(gè)主要途徑之一，而個(gè)人信息中的手機(jī)、電話、Email等信息又是網(wǎng)絡(luò)“黑色產(chǎn)業(yè)”中最為關(guān)鍵的部分，個(gè)人信息泄漏不僅僅給生活帶來(lái)不便，而如果不良用心的人利用社會(huì)工程學(xué)等，將給個(gè)人帶來(lái)巨大的經(jīng)濟(jì)損失。

寫過網(wǎng)站程序以及維護(hù)個(gè)人(商業(yè))網(wǎng)站的朋友對(duì)網(wǎng)站信息泄漏也一定不會(huì)陌生，而且還非常頭疼，特別是個(gè)人客戶信息的泄漏。網(wǎng)站信息泄漏的主要原因還是安全問題，本文通過自己切身經(jīng)歷，對(duì)個(gè)人信息泄漏中的如何刪除網(wǎng)頁(yè)快照、網(wǎng)站信息泄漏途徑及其解決方法進(jìn)行探討，歡迎有興趣的朋友一起來(lái)進(jìn)行網(wǎng)站安全等方面的探討。

(一)網(wǎng)站信息泄漏途徑

網(wǎng)站信息泄漏的主要途徑有以下三個(gè)方面：

1.老板“黑”。

呵呵，寫到這里，很多老板都會(huì)不滿意，嘿嘿，我說(shuō)的這個(gè)“黑”跟黑客的黑有些類似，現(xiàn)在有些(不是全部)提供虛擬主機(jī)以及主機(jī)托管的ISP服務(wù)商會(huì)將其客戶的商業(yè)(個(gè)人)網(wǎng)站收集，然后進(jìn)行出售。據(jù)了解有的是出售網(wǎng)站源代碼，有的是出售客戶信息。需要證明的朋友可以到北京的一些過街天橋上面，會(huì)有人出售企業(yè)名錄、名人名錄等。其中中產(chǎn)以上階層是主要關(guān)注對(duì)象，比如老板名錄，經(jīng)理名錄，車主個(gè)人信息(圖1)。

圖1 個(gè)人信息泄漏

驗(yàn)證途徑：

(1)“北京16萬(wàn)名新車主個(gè)人詳細(xì)信息被書商公開叫賣”網(wǎng)頁(yè)訪問地址：

[url]http://www.southcn.com/news/community/shzt/privacy/annoyance/200509160468.htm[/url]

2.駭客“黑”。

說(shuō)這個(gè)大家都明白，現(xiàn)在很多駭客都是以商業(yè)利益(盜取QQ號(hào)、盜取游戲帳號(hào)、盜取個(gè)人銀行帳號(hào)等)為重，譬如“熊貓病毒”，就有一條完整的商業(yè)體系，而網(wǎng)站是駭客利益首選之地，網(wǎng)站是網(wǎng)頁(yè)掛馬的必經(jīng)之路。因此駭客會(huì)利用一切安全漏洞來(lái)對(duì)網(wǎng)站進(jìn)行攻擊以獲取對(duì)網(wǎng)站以及網(wǎng)站服務(wù)器的完全控制，而在獲得控制后，會(huì)對(duì)網(wǎng)站信息進(jìn)行分析，判斷是否有商業(yè)價(jià)值。

3.搜索引擎“黑”。

搜索引擎“黑”跟傳統(tǒng)意義上的黑不一樣，應(yīng)該說(shuō)厲害才是，現(xiàn)在很多搜索引擎例如Google、百度等會(huì)將網(wǎng)站的所有網(wǎng)頁(yè)文件進(jìn)行抓取，然后形成網(wǎng)頁(yè)快照，驗(yàn)證方式如下：

(1)在百度搜索引擎搜索框中輸入“詳細(xì)個(gè)人信息”然后單擊“百度搜索”會(huì)出來(lái)2600，000多條搜索記錄(圖2);對(duì)比百度在Google中搜索同樣關(guān)鍵詞，Google搜索引擎一共有，14,800,000條搜索記錄(圖3)。

圖2百度搜索個(gè)人信息

圖3 Google搜索個(gè)人信息

(2)更改搜索關(guān)鍵詞，在在百度搜索引擎搜索框中輸入“個(gè)人詳細(xì)信息”然后單擊“百度搜索”會(huì)出來(lái)1,150,000多條搜索記錄;對(duì)比百度在Google中搜索同樣關(guān)鍵詞，Google搜索引擎一共有15,200,000條搜索記錄。

說(shuō)明：對(duì)于收集個(gè)人信息的網(wǎng)絡(luò)高手來(lái)說(shuō)，要收集某一個(gè)網(wǎng)站的一些關(guān)鍵信息，可以按照“site:[url]www.somesite.com[/url] 聯(lián)系方式”等來(lái)進(jìn)行搜索，如果網(wǎng)站程序未進(jìn)行安全設(shè)置，其網(wǎng)站包含聯(lián)系方式的網(wǎng)頁(yè)均可瀏覽。

(3)訪問不了網(wǎng)頁(yè)!在搜索出來(lái)的“詳細(xì)個(gè)人信息”中隨便選擇一條，單擊其鏈接，結(jié)果顯示為“該網(wǎng)頁(yè)無(wú)法訪問”或者“無(wú)法顯示網(wǎng)頁(yè)”(圖4)，出現(xiàn)這種情況可能是網(wǎng)站管理人員將該網(wǎng)頁(yè)刪除掉了，還有可能就是將網(wǎng)頁(yè)改名了。

圖4 訪問不了網(wǎng)頁(yè)

(4)搜索引擎的網(wǎng)頁(yè)快照來(lái)幫忙。利用百度搜索時(shí)其記錄中往往會(huì)有“百度快照”，而在Google中會(huì)有“網(wǎng)頁(yè)快照”四個(gè)灰色的字體，在本例中使用百度快照，單擊同條記錄的“百度快照”，結(jié)果出來(lái)了(圖5)。

圖 5 網(wǎng)頁(yè)快照

(5)直接顯示個(gè)人隱私信息。本例中以“詳細(xì)個(gè)人信息 喻鳳”為例，通過搜索引擎搜索出來(lái)的網(wǎng)頁(yè)以及網(wǎng)頁(yè)快照都不能訪問，但是搜索引擎還是將個(gè)人信息抓取出來(lái)了(圖6)：喻鳳身份證證件號(hào)碼： 362229198309142028.電子郵件：fengyu419914@126.com.

圖 6 直接顯示個(gè)人信息

注意：現(xiàn)在國(guó)家在推行網(wǎng)絡(luò)實(shí)名制，實(shí)名制在使用過程中確實(shí)能夠解決不少問題，但是一旦這些信息泄漏出去，且被不法分子利用，其后果不堪設(shè)想。

(二)刪除網(wǎng)頁(yè)快照

通俗的說(shuō)，網(wǎng)頁(yè)快照就是搜索引擎在收錄網(wǎng)頁(yè)時(shí)，都會(huì)做一個(gè)備份，大多是文本的，保存了這個(gè)網(wǎng)頁(yè)的主要文字內(nèi)容，這樣當(dāng)這個(gè)網(wǎng)頁(yè)被刪除或連接失效時(shí)，用戶可以使用網(wǎng)頁(yè)快照來(lái)查看這個(gè)網(wǎng)頁(yè)的主要內(nèi)容，由于這個(gè)快照以文本內(nèi)容為主，所以會(huì)加快訪問速度。在網(wǎng)站信息泄漏中，一個(gè)最大的安全隱患就是搜索引擎抓取的網(wǎng)頁(yè)快照。一般情況下，搜索引擎都不會(huì)自動(dòng)刪除網(wǎng)頁(yè)快照，只要其被搜索引擎收錄，其信息就能訪問。因此要解決網(wǎng)站信息泄漏問題，其中一個(gè)關(guān)鍵的問題就是要?jiǎng)h除網(wǎng)頁(yè)快照。

1.刪除百度搜索引擎中的網(wǎng)頁(yè)快照

(1)網(wǎng)絡(luò)上無(wú)現(xiàn)存解決方法。

我首先在網(wǎng)上搜索“刪除網(wǎng)頁(yè)快照”、“百度”“百度快照”等關(guān)鍵字，結(jié)果出來(lái)居多“刪除網(wǎng)頁(yè)快照”的提問，我一個(gè)個(gè)的仔細(xì)進(jìn)行了查看，居然沒有解決方法。

(2)跟百度聯(lián)系。

實(shí)在沒有辦法，我只好到百度的老巢去看看，通過“關(guān)于百度”網(wǎng)頁(yè)找到了百度的一些聯(lián)系方式(圖7)，給Webmaster@baidu.com發(fā)了一封求助刪除網(wǎng)頁(yè)快照的郵件，二三天后，管理員給我回信了，告訴我已經(jīng)刪除掉，要一周以后才能生效。

圖7 百度聯(lián)系方式

一周以后我再次進(jìn)行搜索，結(jié)果發(fā)現(xiàn)其網(wǎng)頁(yè)快照還是存在，于是我再次給百度網(wǎng)站管理員發(fā)了一份求助郵件，二三天后再次收到回復(fù)郵件(圖8)，其中提到了“百度搜索幫助”，通過其地址找到了網(wǎng)頁(yè)(圖9)(非常奇怪，在百度網(wǎng)站中居然無(wú)法正常看到關(guān)于解決該問題的鏈接:[url]http://www.baidu.com/search/faq_page.html#02[/url]，百度是否不愿意刪除網(wǎng)頁(yè)快照，還是另有原因!!!)。

說(shuō)明：直接跟百度聯(lián)系是一種較好的辦法，也可以通過百度自己提供的百度對(duì)話平臺(tái)進(jìn)行溝通，呵呵，上面說(shuō)還有獎(jiǎng)品，不過我沒有試過，其訪問地址為：

[url]http://utility.baidu.com/quality/quality_form.php?word=%2E[/url]

圖 8 郵件回復(fù)

圖9百度幫助

(3)刪除程序文件否則更改鏈接。

通過研究幫助文件，發(fā)現(xiàn)最為快捷和方便的方法是更改網(wǎng)站泄漏文件的名稱或者直接刪除信息泄漏文件或者更改鏈接地址。不過該方法需要一個(gè)月左右才會(huì)生效。

2.刪除Google搜索引擎中的網(wǎng)頁(yè)快照。

(1)使用Google幫助文件

刪除Google搜索引擎中的網(wǎng)頁(yè)快照相對(duì)就容易多了，而且在Google的幫助文件中有關(guān)于如何刪除網(wǎng)頁(yè)快照的具體方法。具體進(jìn)入方式為：Google首頁(yè)->“Google大全”->“搜索幫助”，其中有很多關(guān)于刪除網(wǎng)頁(yè)快照的解決方法，詳細(xì)地址為：

https://www.google.com/support/bin/answer.py?answer=61808&hl=zh_CN

說(shuō)明：個(gè)人覺得老外就是比較嚴(yán)謹(jǐn)，會(huì)注意很多細(xì)節(jié)，不像國(guó)人，很多都是表面工程，不辦實(shí)際事情。

(2)使用Google網(wǎng)站管理員工具

Google提供的網(wǎng)站管理員工具使用起來(lái)非常方便，不過使用它來(lái)管理需要兩個(gè)前置條件：首先需要擁有Google帳號(hào)或者Gmail帳號(hào)，其次需要在需要?jiǎng)h除網(wǎng)頁(yè)快照的網(wǎng)站首頁(yè)的Html代碼中的第一個(gè)head處添加Google的驗(yàn)證標(biāo)識(shí)。驗(yàn)證成功后即可進(jìn)行網(wǎng)站網(wǎng)頁(yè)快照的管理(圖10)。網(wǎng)站管理員工具中還可以對(duì)rotbots文件、網(wǎng)站地圖、網(wǎng)站鏈接等進(jìn)行管理。

圖10 Google網(wǎng)站管理員工具

說(shuō)明：Google網(wǎng)站管理員工具可以有選擇的從 Google 搜索結(jié)果中刪除內(nèi)容，刪除在 6 個(gè)月內(nèi)有效?？梢詣h除以下內(nèi)容：

l 單個(gè)網(wǎng)址：網(wǎng)頁(yè)、圖片或其他文件，刪除過期或被攔截的網(wǎng)頁(yè)、圖片和其他文檔，使其不再出現(xiàn)在 Google 搜索結(jié)果中。

l 網(wǎng)站上的目錄及所有子目錄，刪除網(wǎng)站上指定目錄內(nèi)的所有文件和子目錄，使其不再出現(xiàn)在 Google 搜索結(jié)果中。

l 整個(gè)網(wǎng)站，從 Google 搜索結(jié)果中刪除網(wǎng)站。

l Google 搜索結(jié)果的緩存復(fù)本，對(duì)已經(jīng)過期或您已添加無(wú)存檔元標(biāo)記的網(wǎng)頁(yè)，刪除其緩存復(fù)本和網(wǎng)頁(yè)說(shuō)明。

總之在Google管理員工具中最為方便的就是管理員可以自由選擇刪除網(wǎng)站內(nèi)容，可以刪除整個(gè)網(wǎng)站，可以是網(wǎng)站鏈接，可以是文字等等(圖11)，可以依據(jù)其相應(yīng)的提示進(jìn)行操作，非常方便。

圖11 刪除快照

網(wǎng)站管理員工具地址：

[url]https://www.google.com/accounts/ServiceLogin?service=sitemaps&continue=https://www.google.com%2Fwebmasters%2Ftools%2Fsiteoverview%3Fhl%3Dzh_CN%3Fhl%3Dzh_CN&nui=1&hl=zh-CN[/url]

3.編寫自己的robots.txt

robots.txt是一個(gè)純文本文件，在這個(gè)文件中網(wǎng)站管理者可以聲明該網(wǎng)站中不想被robots訪問的部分，或者指定搜索引擎只收錄指定的內(nèi)容。當(dāng)一個(gè)搜索機(jī)器人(有的叫搜索蜘蛛)訪問一個(gè)站點(diǎn)時(shí)，它會(huì)首先檢查該站點(diǎn)根目錄下是否存在robots.txt，如果存在，搜索機(jī)器人就會(huì)按照該文件中的內(nèi)容來(lái)確定訪問的范圍;如果該文件不存在，那么搜索機(jī)器人就沿著鏈接抓取。另外，robots.txt必須放置在一個(gè)站點(diǎn)的根目錄下，而且文件名必須全部小寫。Robots.txt編寫很簡(jiǎn)單，網(wǎng)上有很多關(guān)于這方面的資料，我就不贅述了。只列舉幾個(gè)常用的例子供大家使用。

(1)禁止所有搜索引擎訪問網(wǎng)站的任何部分。

User-agent: *

Disallow: /

(2)只允許訪問searchhistory目錄

User-agent: *

Allow: /searchhistory/

Disallow: /

(3)禁止所有搜索引擎訪問網(wǎng)站的01、02、03目錄

User-agent: *

Disallow: /01/

Disallow: /02/

Disallow: /03/ www.2cto.com

(4)禁止BadBot搜索引擎的訪問

User-agent: BadBot

Disallow: /

(5)只允Crawler搜索引擎的訪問

User-agent: Crawler

Disallow:

User-agent: *

Disallow: /

說(shuō)明：本人在自己的網(wǎng)站上面加上robots后，Google網(wǎng)頁(yè)快照就消失了。

(三)網(wǎng)站信息泄漏堵漏

1.加強(qiáng)程序安全

在程序早期，很多程序員都沒有考慮到搜索引擎會(huì)自動(dòng)抓取網(wǎng)站中的網(wǎng)頁(yè)，因此對(duì)于安全方面沒有做訪問限制，一個(gè)好的方法就是對(duì)網(wǎng)頁(yè)進(jìn)行授權(quán)訪問，例如只有登陸以后的用戶可以訪問某一些網(wǎng)絡(luò)資源，而對(duì)于普通用戶則禁止訪問。以asp編程語(yǔ)言為例，可以新建一個(gè)checklogin.asp的網(wǎng)頁(yè)文件，然后在其中輸入：

<%

if Session("MySystem_LoginUser")="" then

response.redirect  " Login.asp"

end if

%>

在網(wǎng)站需要進(jìn)行限制訪問的網(wǎng)頁(yè)程序中包含該網(wǎng)頁(yè)即可。

說(shuō)明：本例只是提出一種簡(jiǎn)單實(shí)現(xiàn)方法，其實(shí)限制訪問網(wǎng)絡(luò)資源有很多好方法，當(dāng)然程序中也得考慮其他安全，例如SQL注入漏洞問題。

2．及時(shí)跟Google、百度等搜索引擎聯(lián)系，刪除存在泄漏的網(wǎng)站信息

3．涉及個(gè)人隱私信息的內(nèi)容和網(wǎng)頁(yè)時(shí)，一定要對(duì)安全多加考慮。

（四）結(jié)束語(yǔ)

本文對(duì)網(wǎng)站信息泄漏，主要是個(gè)人信息問題進(jìn)行了探討，并就泄漏中的網(wǎng)頁(yè)快照刪除問題給出了一些解決方法。網(wǎng)絡(luò)的安全問題從來(lái)都是相對(duì)的，沒有絕對(duì)的安全，安全重在安全思想意識(shí)，歡迎跟大家一起進(jìn)行網(wǎng)路安全方面的探討。