編製"隱身"Web程式(以PHP為例)
編製"隱身"Web程式(以PHP為例)
基本上CGI掃瞄器 (此中包括絕大多數SQL注入檢測工具, 後台/上傳/資料庫掃瞄器) 都通過判斷HTTP回應報文代號來判斷, 就是200, 404, 400這些了, 相信也不用我在這裡廢話HTTP協議了 預定設置的瀏覽器碰到40x或者50x都會給你一個預定的錯誤網網頁面, 但是取消了"顯示友好HTTP錯誤消息" (IE) 後, 這些錯誤報文中的訊息就會被顯示出來 (所以也就跟正常網網頁面沒有差了). 這樣的話用PHP的header函數就可以玩一個花招: <?php ob_start(); header("HTTP/1.1 404 Not Found"); ?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML> <HEAD> <TITLE> Sample </TITLE> </HEAD> <BODY> This is just a sample, created by 碎片er! </BODY> </HTML> <?php ob_end_flush();?> 不多就這麼個東西了, 我也不知道以前有沒有人提出來過, 覺得可以用來隱藏一些後台網網頁面或者後門之類的吧 (記得把"顯示友好HTTP錯誤消息"取消掉, 在IE裡) |
所有時間均為台北時間。現在的時間是 08:45 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *