基本上CGI扫描器 (此中包括绝大多数SQL注入检测工具,后台/上传/数据库扫描器)都通过判断HTTP回应报文代号来判断,也就是200, 404, 400这些,相信不用我在这里废话HTTP协议了。
默认设置的浏览器碰到40x或者50x都会给你一个默认的错误页面,但是取消了“显示友好HTTP错误消息”(IE) 后,这些错误报文中的信息就会被显示出来(所以也就跟正常页面没有差了)。
这样的话用PHP的header函数就可以玩一个花招:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <BODY>
|
不多就这么个东西了,我也不知道以前有没有人提出来过,觉得可以用来隐藏一些后台页面或者后门之类的吧。
责任编辑 赵毅 zhaoyi#51cto.com TEL:(010)68476636-8001
