|
論壇說明 | 標記討論區已讀 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-09-19, 07:50 AM | #1 (permalink) |
榮譽會員
|
資訊 - 編製"隱身"Web程式(以PHP為例)
編製"隱身"Web程式(以PHP為例)
基本上CGI掃瞄器 (此中包括絕大多數SQL注入檢測工具, 後台/上傳/資料庫掃瞄器) 都通過判斷HTTP回應報文代號來判斷, 就是200, 404, 400這些了, 相信也不用我在這裡廢話HTTP協議了 預定設置的瀏覽器碰到40x或者50x都會給你一個預定的錯誤網網頁面, 但是取消了"顯示友好HTTP錯誤消息" (IE) 後, 這些錯誤報文中的訊息就會被顯示出來 (所以也就跟正常網網頁面沒有差了). 這樣的話用PHP的header函數就可以玩一個花招: <?php ob_start(); header("HTTP/1.1 404 Not Found"); ?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML> <HEAD> <TITLE> Sample </TITLE> </HEAD> <BODY> This is just a sample, created by 碎片er! </BODY> </HTML> <?php ob_end_flush();?> 不多就這麼個東西了, 我也不知道以前有沒有人提出來過, 覺得可以用來隱藏一些後台網網頁面或者後門之類的吧 (記得把"顯示友好HTTP錯誤消息"取消掉, 在IE裡) |
__________________ |
|
送花文章: 3,
|