資訊 - 編製"隱身"Web程式(以PHP為例)

[psac]

編製"隱身"Web程式(以PHP為例)

基本上CGI掃瞄器 (此中包括絕大多數SQL注入檢測工具, 後台/上傳/資料庫掃瞄器)
都通過判斷HTTP回應報文代號來判斷, 就是200, 404, 400這些了, 相信也不用我在這裡廢話HTTP協議了

預定設置的瀏覽器碰到40x或者50x都會給你一個預定的錯誤網網頁面, 但是取消了"顯示友好HTTP錯誤消息" (IE) 後, 這些錯誤報文中的訊息就會被顯示出來 (所以也就跟正常網網頁面沒有差了).

這樣的話用PHP的header函數就可以玩一個花招:


<?php
ob_start();
header("HTTP/1.1 404 Not Found");
?>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE> Sample </TITLE>
</HEAD>

<BODY>
This is just a sample, created by 碎片er!
</BODY>
</HTML>


<?php ob_end_flush();?>

不多就這麼個東西了, 我也不知道以前有沒有人提出來過, 覺得可以用來隱藏一些後台網網頁面或者後門之類的吧

(記得把"顯示友好HTTP錯誤消息"取消掉, 在IE裡)