Доступ метода TRACE:что это за уязвимость?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Доступ метода TRACE:что это за уязвимость? - 2009-12-04 08:04:58.960000
|
|
|
Плут
Сообщений: 5
Оценки: 0
Присоединился: 2009-10-28 02:56:47.940000
|
обнаружил уязвимость TRACE: подскажите что она дает и как ее можно использовать?
|
|
|
|
|
RE: Доступ метода TRACE:что это за уязвимость? - 2009-12-07 01:41:40.480000
|
|
|
Le[n]in[TM]
Сообщений: 196
Оценки: 0
Присоединился: 2009-12-05 13:23:31.320000
|
Смотри… все гениальное просто, если написать это человеческим языком.
3.XSS-нападения методом TRACE.
Иногда на форумах я нахожу вопросы типа: "Помогите! Я просканировал XSpider`ом один хост, и он сказал что можно осуществить XSS-нападение методом TRACE. Скажите, как это сделать?".
До этого мы обсуждали только 2 метода передачи данных: GET и POST. Сейчас речь пойдёт о методе TRACE. Метод TRACE предназначен для диагностики сетей и работает следующим образом - клиент отсылает на сервер определённую информацию, а сервер, в свою очередь, отвечает клиенту тем, что к нему пришло(грубо говоря просто отражает пришедшую информацию). Так клиент может диагностировать сеть, ведь если вернулось не то, что он отослал, значит сеть на каком то этапе работает не правильно. Даже этому методу взломщики нашли применение. 1 Ноября 2002 года человек по имени Jeremiah Grossman предложил следующий способ осуществления XSS нападений. Всё дело в том, что в TRACE запросе на сервер передаются cookies(если они есть). Поэтому нам остаётся только перехватить ответ и вытащить от туда всё что нас интересует. Итак, как же можно это осуществить? Вот небольшой пример кода, который отправит TRACE-запрос на указанный сервер:
<script>
function sendTrace () {
var xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
xmlHttp.open("TRACE", "any_host",false);
xmlHttp.send();
xmlDoc=xmlHttp.responseText;
alert(xmlDoc);
}
</script>
<INPUT TYPE=BUTTON OnClick="sendTrace();" VALUE="Send Trace Request">
any_host - адрес хоста, который поддерживает метод TRACE. Вышеприведенный код отправит от имени пользователя, просматривающего его, TRACE-запрос и выведет сообщение с полученными данными.
Обратите внимание на то, что данный метод поддерживается и IIS и Apache, что не есть хорошо. Так же, Вы должны знать о том, что администратор просто может запретить принимать запросы такого типа.
Статья взята с http://www.inattack.ru/article/516.html
Мне показалось, что написано человеческим языком и относительно все должно быть понятно!) Удачи!)
|
|
|
|
|
RE: Доступ метода TRACE:что это за уязвимость? - 2012-05-06 12:58:34.800000
|
|
|
Scuper
Сообщений: 12
Оценки: 0
Присоединился: 2012-04-29 23:58:38.143333
|
А на каком языке это?
|
|
|
|
|
RE: Доступ метода TRACE:что это за уязвимость? - 2012-05-06 14:40:33.563333
|
|
|
Heitz
Сообщений: 84
Оценки: 0
Присоединился: 2012-02-27 23:54:14.600000
|
на каком языке скрипты пишутся? на JavaScript естественно!
|
|
|
|
|
RE: Доступ метода TRACE:что это за уязвимость? - 2012-05-06 14:47:55.116666
|
|
|
Scuper
Сообщений: 12
Оценки: 0
Присоединился: 2012-04-29 23:58:38.143333
|
Ну извини, я новичок пока что))
|
|
|
|
|
RE: Доступ метода TRACE:что это за уязвимость? - 2012-05-06 14:50:04.340000
|
|
|
Heitz
Сообщений: 84
Оценки: 0
Присоединился: 2012-02-27 23:54:14.600000
|
так начинай тогда с элементарного, а задачи по сложнее оставь на потом. Займись изучением тех языков программирования, которые нужны будут тебе в взломах в дальнейшем.
|
|
|
|
|
RE: Доступ метода TRACE:что это за уязвимость? - 2012-05-06 14:56:28.090000
|
|
|
Scuper
Сообщений: 12
Оценки: 0
Присоединился: 2012-04-29 23:58:38.143333
|
Последний вопрос. В какой программе писать эти скрипты??
|
|
|
|
|
RE: Доступ метода TRACE:что это за уязвимость? - 2012-05-06 22:32:59.020000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Тексты можно писать в любом простейшем текстовом редакторе. Даже в Блокноте.
|
|
|
|
|
RE: Доступ метода TRACE:что это за уязвимость? - 2012-05-07 08:33:52.680000
|
|
|
Scuper
Сообщений: 12
Оценки: 0
Присоединился: 2012-04-29 23:58:38.143333
|
Написал, сделал HTTP файлом, но не работает
|
|
|
|
|
|
