Web application hacking是透過application的圖形web介面操縱應用程式邏輯

,篡改統一資源標識(URI)或未包含在URI的HTTP元素,進而透過HTTP Web Application

做攻擊,常用方法有 : SQL Injection,跨站點腳本(XSS),跨站點請求偽造(CSRF)

和不安全的通訊。

接下來我們開始來做Hacking Web Applications Lab

登入Parrot Security主機,輸入sudo su切換身份,輸入cd切換目録

輸入以下指令即可看到Web Application相關資訊

nmap -T4 -A -v www.moviescope.com

-T4為設定time template (0-5),-A為設定ACK flag,-v為啟用verbose output

輸完指令顯示結果如下:

輸入telnet www.moviescope.com 80可以得知是IIS 10

輸入whatweb -v www.moviescope.com 可以看到查詢網站的IP address,plugin資訊及

HTTP header資訊