基本上CGI掃描器 (此中包括絕大多數SQL注入檢測工具,后臺/上傳/數據庫掃描器)都通過判斷HTTP回應報文代號來判斷,也就是200, 404, 400這些,相信不用我在這里廢話HTTP協議了。
默認設置的瀏覽器碰到40x或者50x都會給你一個默認的錯誤頁面,但是取消了“顯示友好HTTP錯誤消息”(IE) 后,這些錯誤報文中的信息就會被顯示出來(所以也就跟正常頁面沒有差了)。
這樣的話用PHP的header函數就可以玩一個花招:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <BODY>
|
不多就這么個東西了,我也不知道以前有沒有人提出來過,覺得可以用來隱藏一些后臺頁面或者后門之類的吧。
責任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001
