Cross Site Tracing (XST) Attacks
转载自:http://forum.eviloctal.com/thread-12959-1-1.html
XST攻击属于XSS攻击的一种。
XST攻击描述:
攻击者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及htlm验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致cookie欺骗或者是中间人攻击。
XST攻击条件:
1、需要目标web服务器允许Trace参数;
2、需要一个用来插入XST代码的地方;
3、目标站点存在跨域漏洞。
XST与XSS的比较:
相同点:都具有很大的欺骗性,可以对受害主机产生危害,而且这种攻击是多平台多技术的,我们还可以利用Active控件、Flash、Java等来进行XST和XSS攻击。
优点:可以绕过一般的http验证以及NTLM验证
如何利用:
手法1:
手法2:
| |
手法3:
| |
【Cross Site Tracing (XST) Attacks】
推荐阅读
- backtracing——|backtracing—— 131. 分割回文串
- 伦敦市长萨迪克汗Crossrail受挫,转进准备引入租金管控。
- Django数据库的建立
- redis|redis cross slot error
- Java|sitemesh&freemarker
- cross-storage|cross-storage 浏览器 Web 跨域本地缓存
- 交叉编译|使用clang进行交叉编译
- XSS漏洞分析
- 设计模式|C++设计模式(十九)组合模式
- “外积”概念辨析:Outer Product与Exterior Product(CrossProduct)