這一年來寫東西都很沒動力, 干巴巴的,大家看個玩意好了
基本上CGI掃描器 (此中包括絕大多數SQL注入檢測工具, 後台/上傳/數據庫掃描器)
都通過判斷HTTP回應報文代號來判斷, 就是200, 404, 400這些了, 相信也不用我在這裡廢話HTTP協議了
默認設置的浏覽器碰到40x或者50x都會給你一個默認的錯誤頁面, 但是取消了"顯示友好HTTP錯誤消息" (IE) 後, 這些錯誤報文中的信息就會被顯示出來 (所以也就跟正常頁面沒有差了).
這樣的話用PHP的header函數就可以玩一個花招:
<?php
ob_start();
header("HTTP/1.1 404 Not Found");
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE> Sample </TITLE>
</HEAD>
<BODY>
This is just a sample, created by 碎片er!
</BODY>
</HTML>
<?php ob_end_flush();?>
不多就這麼個東西了, 我也不知道以前有沒有人提出來過, 覺得可以用來隱藏一些後台頁面或者後門之類的吧
(記得把"顯示友好HTTP錯誤消息"取消掉, 在IE裡)
