War es wirklich?

  • login
  • kontakt
Startseite › Weblogs › cs's blog

Cross Site Tracing

Cross Site Tracing ist ein Angriff auf Web-Anwendungen, der es durch Ausnutzung der eigentlich zu Debug-Zwecken vorhandenen HTTP-Methode TRACE z.B. erlaubt, Cookies anderer Domänen auszulesen, deren Web-Server die TRACE-Methode angeschaltet haben. Das Opfer muss lediglich eine beliebige präparierte Seite aufrufen.

Seine "eigenen" Cookies schützt man als Betreiber eines Apache-basierten Netzauftritts zum Beispiel so oder besser, mit weniger Aufwand, durch Setzen von

TraceEnable Off

in der apache2.conf

Testen kann man seinen Server zum Beispiel so:

> telnet zu.testender.host 80
TRACE / HTTP/1.0
Host: zu.testender.host

... und dann zweimal Enter drücken. Wird das nach der Telnet-Zeile eingegebene im Körper der Webserver-Antwort ausgegeben, dann ist man verwundbar.
Kommt als Antwort "Method not implemented" oder "Forbidden", dann ist es ok.

Trackback URL for this post:

http://ich.war-es-wirklich.net/trackback/218
  • Administration
  • IT-Sicherheit
  • Web-Entwicklung
  • Deutsch
  • cs's blog
  • Neuen Kommentar schreiben

Suchen

Themenwolke

Biologie Dokumentation Drupal Gesellschaft Git Ich will das nie wieder suchen müssen Internet IT IT-Sicherheit JavaScript jobpilot KDE Kryptographie Linux Mensch Monster MySQL Netzwerkzeug Open-Source-Software PHP Politik Psychologie Software Software-Entwicklung Spaß und Satire Tipps und Tricks Versionskontrolle Web-Entwicklung WTF Überwachung
Weitere Themen

OpenSource-Scores

Ohloh

Ohloh profile for cspitzlay

Drupal: Certified to rock

Yes I am
  • login
  • kontakt