サイバー攻撃は犯罪です。
クロスサイトトレーシング(CST、XST)とは
クロスサイトトレーシングとは、TRACEメソッドのHTTP通信をWebページに埋め込むことで、認証情報を取得する攻撃です。
TRACEメソッドとは
HTTP通信のメソッドには、よく聞くGETやPOSTの他にTRACEというメソッドもあります。
TRACEメソッドは、『今送ったものそのまま返して 』とことを意味します。
クロスサイトスクリプティング(XSS)とは
クロスサイトスクリプティング(XSS)攻撃とは、掲示板から脆弱なサイトに誘導をかけつつ、脆弱なサイトでのスクリプトを実行文も送付することで、ユーザーに本来存在しないはずのスクリプトを実行させる攻撃です。
ログイン画面にXSSでTRACEメソッドを埋め込まれてしまったとしましょう。
ログインするためのパスワードが送信された後、TRACEで返却されて戻ってきてしまいます。
送ったきりのパスワードがブラウザに戻ってくることで、漏洩につながっていきます。
防御対策
防ぐには、XSSを実行させないこととサーバー側でTRACEメソッドを受け付けないことです。
ただ、最近のメジャーなブラウザはTRACEメソッド自体を実行できないようになっているようですが、備えやれば憂いなしです。
