クロスサイトトレーシング

この記事は検証のために追加の引用が必要です。信頼できる情報源からの引用を追加して、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される場合があります。出典を探す: 「クロスサイトトレーシング」  - ニュース・新聞・書籍・学者・JSTOR      ( 2007年7月) (このメッセージを削除する方法と時期についてはこちら)

Web セキュリティにおいて、クロスサイト トレーシング(略称「XST」) は、HTTP TRACE メソッド を悪用したネットワーク セキュリティの脆弱性です。

XSTスクリプトは、ActiveX、Flash、またはHTTP TRACEリクエストの実行を許可するその他のコントロールを悪用します。HTTP TRACEレスポンスには、認証データやHTTP Cookieコンテンツを含むすべてのHTTPヘッダーが含まれており、スクリプトで利用できます。Webブラウザのクロスドメインアクセスの脆弱性と組み合わせることで、このエクスプロイトはSSLを使用しているサイトを含むあらゆるWebサイトのキャッシュされた認証情報を収集できます。

• Perl使用時のクロスサイトトレース
• 脆弱性情報 VU#867593 - 複数のベンダーのウェブサーバーがHTTP TRACEメソッドをデフォルトで有効にしている
• WhiteHat Security - ホワイトペーパー - クロスサイトトレーシング (XST)