クロスサイトトレーシング
クロスサイトトレーシング (cross-site tracing, XST[1]) は、webセキュリティにおいてHTTP TRACEメソッドを悪用するネットワーク・セキュリティの脆弱性である。
概要
XSTスクリプトは、ActiveX、Flash、またはHTTP TRACE要求の実行を可能にするその他のコントロールを悪用する。HTTP TRACE応答には、認証データとHTTP Cookieの内容を含むすべてのHTTPヘッダーが含まれ、これらはスクリプトで使用することができる。 このエクスプロイトは、Webブラウザのクロスドメインアクセスの欠陥と組み合わせて、SSLを利用しているWebサイトを含む任意のWebサイトのキャッシュされた資格情報を収集することができる。
脚注
[脚注の使い方]
- ^ https://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf
外部リンク
- Cross-site tracing on use Perl.
- Vulnerability Note VU#867593 - Multiple vendors' web servers enable HTTP TRACE method by default
- WhiteHat Security - Whitepaper - Cross-Site Tracing (XST)
参考資料
| |
---|---|
クロスサイト攻撃 |
|
インジェクション攻撃 (CWE-74) |
|
スプーフィング攻撃 |
|
セッションハイジャック関連 |
|
DoS攻撃 |
|
サイドチャネル攻撃 | |
不適切な入力確認 (CWE-20) |
|
未分類 |
|
対策 |
|
関連項目 |
|