クロスサイトトレーシング(CST、XST)

クロスサイトトレーシング(CST、XST)とは

クロスサイトトレーシングとは、TRACEメソッドのHTTP通信をWebページに埋め込むことで、認証情報を取得する攻撃です。

TRACEメソッドとは

HTTP通信のメソッドには、よく聞くGETやPOSTの他にTRACEというメソッドもあります。

TRACEメソッドは、『今送ったものそのまま返して 』とことを意味します。

クロスサイトスクリプティング(XSS)とは​

クロスサイトスクリプティング(XSS)攻撃とは、掲示板から脆弱なサイトに誘導をかけつつ、脆弱なサイトでのスクリプトを実行文も送付することで、ユーザーに本来存在しないはずのスクリプトを実行させる攻撃です。

ログイン画面にXSSでTRACEメソッドを埋め込まれてしまったとしましょう。

ログインするためのパスワードが送信された後、TRACEで返却されて戻ってきてしまいます。

送ったきりのパスワードがブラウザに戻ってくることで、漏洩につながっていきます。

防御対策

防ぐには、XSSを実行させないことサーバー側でTRACEメソッドを受け付けないことです。

ただ、最近のメジャーなブラウザはTRACEメソッド自体を実行できないようになっているようですが、備えやれば憂いなしです。