タグ

関連タグで絞り込む (4)

タグの絞り込みを解除

TRACEメソッドに関するn2sのブックマーク (5)

  • 実はそんなに怖くないTRACEメソッド

    Cross-Site Tracing(XST)という化石のような攻撃手法があります。「化石」と書いたように、既に現実的な危険性はないのですが、XSTに関連して「TRACEメソッドは危険」というコメントを今でも見ることがあります。 このエントリでは、XSTという攻撃手法について説明し、XSTおよびTRACEメソッドについてどう考えればよいかを紹介します。 TRACEメソッドとは HTTP 1.1(RFC2616)では、8種類のメソッドが定義されています。GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。 このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。 TRACE

    実はそんなに怖くないTRACEメソッド

  • TRACEメソッドって危ないのでしょうかの自分メモ — (n)

    life is penetration. geeks cheer. geeks be ambitious.時々、Twitterなんかでも話題に上るWebサーバにおいて TRACE/TRACK(以下はTRACEと表現をまとめます)メソッドが 有効であることに対するセキュリティ診断での指摘の程度について考えました。 きっかけはGSX社からリリースされていた「TRACEメソッドの現状」というもの。 よくまとまっていたので自分でも整理するためにメモ。 クロスサイトトレーシング(以下、XST)はもはや説明不要かもしれませんが 簡単に説明すると、WebサーバでTRACEメソッドが有効になっている場合に HTTPヘッダに含まれている情報も盗まれてしまうといったものです。 この盗み出されてしまうかもしれない情報の中で例示される代表格は Basic認証(IDとパスワードをBase64エンコード

  • 「HP‑UX のセキュリティ強化設定 第1回 (インストール編)」

    リスクを見つける サイバー攻撃を防ぐ最大の対策は、自社のシステムの脆弱性をなくすことです。しかし、より複雑化・高度化する情報技術を、完璧な状態に保つことは困難です。 GSXは1997年からペネトレーションテストをはじめとした脆弱性診断を提供、豊富な実績とノウハウを蓄積しています。また、セキュリティ人材教育を行い、常に最新のサイバーリスクもキャッチアップしています。 豊富な経験と高度なセキュリティ技術を持った専門家が、診断ツールと手動オペレーションを併用し、サイバー攻撃の起因となるセキュリティの欠陥を発見します。発見した欠陥(脆弱性)について、技術的かつ人的教育の点から最適な各種ソリューションをご提案します。 サイバー攻撃を防ぐ最大の対策は、自社のシステムの脆弱性をなくすことです。しかし、より複雑化・高度化する情報技術を、完璧な状態に保つことは困難です。 GSXは1997年からペネトレーショ

  • XMLHttpRequestオブジェクトを使ったTRACEメソッド送信のブラウザ対応状況を確認してみる - 思い立ったら書く日記

    HTTPのTRACEメソッドを悪用する古い攻撃手法に「Cross Site Tracing(XST)」というものがあります。この攻撃手法を悪用すると、第三者が Cross Site Scripting(XSS)の脆弱性が存在するWeb サイトとブラウザの間でやり取りされる HTTP リクエスト・ヘッダを取得できてしまいます。この手法は一般的に HTTP リクエスト・ヘッダに含まれる Authorization ヘッダや Cookie ヘッダを奪取するために悪用されるようですね。 XST では一般的に JavaScript でXMLHttpRequest オブジェクトを悪用するようですが、最新のブラウザでも XMLHttpRequest オブジェクトで TRACE メソッドの HTTP リクエストを送信できるのでしょうか。というのも、W3C の XMLHttpRequest オブジェクトに関

    XMLHttpRequestオブジェクトを使ったTRACEメソッド送信のブラウザ対応状況を確認してみる - 思い立ったら書く日記
    n2s
    n2s 2011/03/02
    TRACEメソッドの話が最近あった(id:entry:31763085)のと、徳丸本にURL載ってたのでぶくま。
    リンク

  • TRACEメソッドって怖いんです - カイワレの大冒険 Third

    ※2013/01/24 add: 徳丸先生の書かれた実はそんなに怖くないTRACEメソッド | 徳丸浩の日記を先に見ておくをオススメします。深く追求できていないまま記事にしてしまい申し訳ありません。 タイトルの通りです。HTTPのメソッドには、よく使うものとしてGETやPOSTというものがありますが、TRACEメソッドというものがありまして、これを有効にしておくと危ないよという話しです。 TRACEメソッドについて 百聞は一見にしかず、どんな挙動をするか見ていきましょう。 $ telnet example.org 80 Trying example.org... Connected to example.org. Escape character is '\^]'. TRACE / HTTP/1.1 #ここと HOST: example.org #ここを手で入力して、エンターキー二回このよ

    TRACEメソッドって怖いんです - カイワレの大冒険 Third
    n2s
    n2s 2011/02/25
    無効にしておくのが吉。あとTRACE送信させられるような状態なら攻撃者は他にもいろいろやらせることが可能だからTRACE関係なしにやばい罠。
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.