実はそんなに怖くないTRACEメソッド

Cross-Site Tracing(XST)という化石のような攻撃手法があります。「化石」と書いたように、既に現実的な危険性はないのですが、XSTに関連して「TRACEメソッドは危険」というコメントを今でも見ることがあります。 このエントリでは、XSTという攻撃手法について説明し、XSTおよびTRACEメソッドについてどう考えればよいかを紹介します。 TRACEメソッドとは HTTP 1.1(RFC2616)では、8種類のメソッドが定義されています。GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。 このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。 TRACE

[klim0824]

2013年の記事

[kent-where-the-light-is]

“TRACEメソッドを実行すると、先に見たようにリクエストヘッダがそのままレスポンスとして返るので、XSS単独ではとることのできないHttpOnly属性の指定されたCookieや、Authorizationヘッダを盗み出すことができます。これがXST

[nilab]

「XSTは元々XSS脆弱性が存在しないと危険性はない」「XSS単独でも危険な脆弱性である」「XSTがなくてもXSS単体でBASIC認証のあるコンテンツを盗むことはできる」「主要ブラウザでは5年ほど前からXST防御機能が入っている」

[ya--mada]

“Cross-Site Tracing(XST)という化石のような攻撃手法があります。”

[tkpyoi]

TRACEメソッドオフっとけってのはもはや不要なのかしら。思考停止して必ずオフしてた。

[at_yasu]

こんなのあったのね。ほー

[Hash]

TRACEメソッド初めて知りましたぜ

[oppara]

実はそんなに怖くないTRACEメソッド | 徳丸浩の日記

[deep_one]

『TRACEメソッドはApacheの設定で極めて容易に止めることができ、副作用もない』というのが肝だよね…だったら普通止めようかって事になる。