クロスサイトトレーシング(CST、XST)

セキュリティ解説, 学習

クロスサイトトレーシング(CST、XST)とは

クロスサイトトレーシングとは、TRACEメソッドのHTTP通信をWebページに埋め込むことで、認証情報を取得する攻撃です。

TRACEメソッドとは

HTTP通信のメソッドには、よく聞くGETやPOSTの他にTRACEというメソッドもあります。

TRACEメソッドは、『今送ったものそのまま返して 』とことを意味します。

クロスサイトスクリプティング(XSS)とは​

クロスサイトスクリプティング(XSS)攻撃とは、掲示板から脆弱なサイトに誘導をかけつつ、脆弱なサイトでのスクリプトを実行文も送付することで、ユーザーに本来存在しないはずのスクリプトを実行させる攻撃です。

ログイン画面にXSSでTRACEメソッドを埋め込まれてしまったとしましょう。

ログインするためのパスワードが送信された後、TRACEで返却されて戻ってきてしまいます。

送ったきりのパスワードがブラウザに戻ってくることで、漏洩につながっていきます。

防御対策

防ぐには、XSSを実行させないことサーバー側でTRACEメソッドを受け付けないことです。

ただ、最近のメジャーなブラウザはTRACEメソッド自体を実行できないようになっているようですが、備えやれば憂いなしです。

おすすめ
上記の文中の (ISC)2、CISSP®は各社の登録商標です。

情報発信

BlueSky
X
Instagram
YouTube
Reddit

サイトについて

利用規約

© 2024年 PIEDPIN. Built using WordPress and EmpowerWP Theme.