TRACEメソッドって危ないのでしょうかの自分メモ — (n)life is penetration. geeks cheer. geeks be ambitious.時々、Twitterなんかでも話題に上るWebサーバにおいて TRACE/TRACK(以下はTRACEと表現をまとめます)メソッドが 有効であることに対するセキュリティ診断での指摘の程度について考えました。 きっかけはGSX社からリリースされていた「TRACEメソッドの現状」というもの。 よくまとまっていたので自分でも整理するためにメモ。 クロスサイトトレーシング(以下、XST)はもはや説明不要かもしれませんが 簡単に説明すると、WebサーバでTRACEメソッドが有効になっている場合に HTTPヘッダに含まれている情報も盗まれてしまうといったものです。 この盗み出されてしまうかもしれない情報の中で例示される代表格は Basic認証(IDとパスワードをBase64エンコード
