Cross-site tracing (original) (raw)
In web security, cross-site tracing (abbreviated "XST") is a network security vulnerability exploiting the HTTP TRACE method. XST scripts exploit ActiveX, Flash, or any other controls that allow executing an HTTP TRACE request. The HTTP TRACE response includes all the HTTP headers including authentication data and HTTP cookie contents, which are then available to the script. In combination with cross domain access flaws in web browsers, the exploit is able to collect the cached credentials of any web site, including those utilizing SSL.
| Property | Value |
|---|---|
| dbo:abstract | Cross-Site-Tracing (kurz: CST oder XST) ist ein Angriff auf Internetbenutzer mit dem Ziel, bestimmte Benutzerdaten auszuschnüffeln. Über eine mittlerweile selten benutze, reguläre Webserver-Funktion (HTTP-TRACE) und durch Sicherheitslücken in Browsern ist es für einen Dritten möglich, HTTP-Header-Informationen zu erhalten. Dieser Angriff tritt besonders in Verbindung mit Cross-Site-Scripting auf. Anders als bei einem normalen Cross-Site-Scripting-Angriff ist ein Cross-Site-Tracing-Angriff jedoch nicht auf dasselbe Dokument oder denselben Webserver beschränkt, sondern es kann jeder beliebige Webserver genutzt werden, um an die Benutzerdaten des Opfers einer beliebigen Website zu gelangen. Dieser Umstand macht diese Angriffsform besonders gefährlich, da prinzipiell von jeder Website aus, die ein Benutzer aufruft, ein Angriff auf die Benutzerdaten einer beliebigen anderen Website möglich ist. (de) In web security, cross-site tracing (abbreviated "XST") is a network security vulnerability exploiting the HTTP TRACE method. XST scripts exploit ActiveX, Flash, or any other controls that allow executing an HTTP TRACE request. The HTTP TRACE response includes all the HTTP headers including authentication data and HTTP cookie contents, which are then available to the script. In combination with cross domain access flaws in web browsers, the exploit is able to collect the cached credentials of any web site, including those utilizing SSL. (en) Le cross-site tracing, abrégé XST, est une manière d'exploiter les failles de sécurité de type XSS (cross-site scripting), mettant à profit la méthode TRACE du protocole HTTP. Une faille de type XSS ne permet normalement pas d'accéder aux informations (les cookies notamment) relatives à un autre site que celui faillible, à cause des modèles de sécurité des navigateurs. Le XST permet de contourner cette limitation en se servant de la méthode TRACE qui a pour fonction de renvoyer au client l'intégralité de l'en-tête de sa requête. Invoquée dynamiquement en JavaScript, grâce à XMLHttpRequest par exemple, elle permet dans certains cas de récupérer les cookies relatifs au domaine ciblé par la requête, parce que ceux-ci apparaissent automatiquement dans l'en-tête envoyée par le navigateur, et ainsi retournée par le serveur. Il n'est pas nécessaire d'exploiter une faille de type XSS pour provoquer une requête TRACE. (fr) クロスサイトトレーシング (cross-site tracing, XST) は、webセキュリティにおいてHTTP TRACEメソッドを悪用するネットワーク・セキュリティの脆弱性である。 (ja) Na segurança da web, o cross-site tracing (abreviado XST) é uma vulnerabilidade de segurança de rede que explora o método HTTP TRACE. (pt) |
| dbo:wikiPageExternalLink | http://www.kb.cert.org/vuls/id/867593 https://web.archive.org/web/20030228045234/http:/use.perl.org/comments.pl%3Fsid=10790 http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf |
| dbo:wikiPageID | 2922513 (xsd:integer) |
| dbo:wikiPageLength | 1223 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 978083065 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:Transport_Layer_Security dbr:Authentication dbr:Web_browser dbr:Credentials dbr:Header_(computing) dbr:ActiveX dbr:Adobe_Flash dbr:HTTP dbr:HTTP_cookie dbc:Web_security_exploits dbr:Network_security |
| dbp:wikiPageUsesTemplate | dbt:Refimprove dbt:Short_description |
| dct:subject | dbc:Web_security_exploits |
| gold:hypernym | dbr:Vulnerability |
| rdf:type | dbo:Software yago:WikicatComputerSecurityExploits yago:WikicatWebSecurityExploits yago:Abstraction100002137 yago:Accomplishment100035189 yago:Act100030358 yago:Action100037396 yago:Event100029378 yago:Feat100036762 yago:PsychologicalFeature100023100 yago:YagoPermanentlyLocatedEntity |
| rdfs:comment | In web security, cross-site tracing (abbreviated "XST") is a network security vulnerability exploiting the HTTP TRACE method. XST scripts exploit ActiveX, Flash, or any other controls that allow executing an HTTP TRACE request. The HTTP TRACE response includes all the HTTP headers including authentication data and HTTP cookie contents, which are then available to the script. In combination with cross domain access flaws in web browsers, the exploit is able to collect the cached credentials of any web site, including those utilizing SSL. (en) クロスサイトトレーシング (cross-site tracing, XST) は、webセキュリティにおいてHTTP TRACEメソッドを悪用するネットワーク・セキュリティの脆弱性である。 (ja) Na segurança da web, o cross-site tracing (abreviado XST) é uma vulnerabilidade de segurança de rede que explora o método HTTP TRACE. (pt) Cross-Site-Tracing (kurz: CST oder XST) ist ein Angriff auf Internetbenutzer mit dem Ziel, bestimmte Benutzerdaten auszuschnüffeln. Über eine mittlerweile selten benutze, reguläre Webserver-Funktion (HTTP-TRACE) und durch Sicherheitslücken in Browsern ist es für einen Dritten möglich, HTTP-Header-Informationen zu erhalten. Dieser Angriff tritt besonders in Verbindung mit Cross-Site-Scripting auf. (de) Le cross-site tracing, abrégé XST, est une manière d'exploiter les failles de sécurité de type XSS (cross-site scripting), mettant à profit la méthode TRACE du protocole HTTP. Une faille de type XSS ne permet normalement pas d'accéder aux informations (les cookies notamment) relatives à un autre site que celui faillible, à cause des modèles de sécurité des navigateurs. Le XST permet de contourner cette limitation en se servant de la méthode TRACE qui a pour fonction de renvoyer au client l'intégralité de l'en-tête de sa requête. Invoquée dynamiquement en JavaScript, grâce à XMLHttpRequest par exemple, elle permet dans certains cas de récupérer les cookies relatifs au domaine ciblé par la requête, parce que ceux-ci apparaissent automatiquement dans l'en-tête envoyée par le navigateur, et ai (fr) |
| rdfs:label | Cross-Site-Tracing (de) Cross-site tracing (en) Cross-site tracing (fr) クロスサイトトレーシング (ja) Cross-site tracing (pt) |
| owl:sameAs | freebase:Cross-site tracing yago-res:Cross-site tracing wikidata:Cross-site tracing dbpedia-de:Cross-site tracing dbpedia-fr:Cross-site tracing dbpedia-gl:Cross-site tracing dbpedia-ja:Cross-site tracing dbpedia-pt:Cross-site tracing https://global.dbpedia.org/id/CVEV |
| prov:wasDerivedFrom | wikipedia-en:Cross-site_tracing?oldid=978083065&ns=0 |
| foaf:isPrimaryTopicOf | wikipedia-en:Cross-site_tracing |
| is dbo:wikiPageDisambiguates of | dbr:Cross-site |
| is dbo:wikiPageRedirects of | dbr:Cross_Site_Tracing |
| is dbo:wikiPageWikiLink of | dbr:Cross-site_cooking dbr:Cross-site dbr:HTTP_cookie dbr:XST dbr:Cross_Site_Tracing |
| is foaf:primaryTopic of | wikipedia-en:Cross-site_tracing |