古老的xst攻击

最新推荐文章于 2023-01-17 22:00:00 发布
最新推荐文章于 2023-01-17 22:00:00 发布
阅读量3k 收藏 2
点赞数
分类专栏: javascript 服务器 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/THEANARKH/article/details/52305398
版权

xst主要是使用http的trace方法,该方法会返回浏览器发给服务器的所有请求信息,但该方法不能带body,主要是利于debug。

现在前端后端都做了很多xst攻击的措施,很难在浏览器端发起trace请求了,所以只能用fiddler模拟一下,服务器是wamp,支持trace方法。

该攻击主要是在网站存在xss漏洞但设置了cookie的httponly属性的时候结合trace方法进行攻击。如果某网站存在xss漏洞,那比如用户点击a标签会执行一段脚本,那么该脚本可以异步发起一个trace请求,因为是同域,所以会带上cookie,然后服务器会把浏览器请求的信息全部返回来,其中包括cookie,我们可以在回调函数里解析然后上传到我们的服务器上去。


theanarkh
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【转】XST Strikes Back
zbryan的专栏
01-15 135
Amit Klein, January 2006 Introduction ============ About three years ago, the concept of "Cross Site Tracing" [1] was introduced to the web application security community. In esse...
【35】WEB安全学习----XST攻击
尚未佩妥剑 转眼便江湖
10-09 2176
本章为知识扩充部分,此攻击现浏览器已不支持发送TRACE请求,故只需要了解攻击原理即可。 XST攻击原理 "Cross-Site-Tracing"简称为XST,如果开发者在设置cookie属性时配置了httponly属性,那么通过XSS攻击就无法读取cookie数据,那么如果服务器支持TRACE请求并且允许跨域的话,那么还是可以读取到cookie数据的。 要想理解XST攻击,首先需要了解以下...
cross-site tracing XST攻击
xysoul的专栏
08-21 3408
XST攻击描述: 攻击者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致cookie欺骗或者是中间人攻击XST攻击条件: 1、需要目标web服务器允许Trace参数; 2、需要一个用来插入XST代码的地方;  3、
关闭Domino中HTTP的Trace方法,防止xst攻击
adeyi的专栏
11-26 4710
打开Administrator中, 如果开启了internet站点配置 配置——Web——Internet站点配置——配置——允许的方法(trace的复选框去掉即可) 如果未开启Internet站点: data目录——notes.ini——增加配置 HTTPDisableMethods=TRACE, 配置完成后重启http服务器, 参考h
TRACE请求引起的反射型XSS漏洞
08-19 741
HTTP定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作。 虽然他们也可以是名词, 但这些请求方法有时被称为HTTP动词. 每一个请求方法都实现了不同的语义。其中,TRACE方法沿着到目标资源的路径执行一个消息环回测试。 关于TRACE方法 客户端发起一个请求时,这个请求可能要穿过防火墙、代理、网关或其他一些应用程序。每个中间节点都可能会修改原始的 ...
Points XST-开源
04-26
"Points XST-开源"是一款基于开源理念设计的积分逻辑游戏。开源软件意味着该程序的源代码对公众开放,允许用户自由查看、使用、修改和分发。这种开放性不仅鼓励社区成员参与到软件的开发与改进中,还为用户提供了一...
XST-User-Guide.zip_xst user guide
09-20
XST用户指南》是Xilinx公司为FPGA开发者提供的一份详尽的参考资料,主要针对Virtex-6和Spartan-6系列设备。这份文档深入浅出地介绍了如何在Xilinx FPGA环境下使用高级Verilog语言进行设计,帮助开发者理解和掌握...
xst basic-开源
06-07
XST Basic 开源项目详解】 XST Basic 是一个开源的MS-DOS Basic解释器,其版本号为1.x。这个项目特别之处在于它包含了C语言发射器,使得程序能够被编译为C代码,从而提高了执行效率和可移植性。主要由C语言编写,...
xst19900809
03-23
【标题】"xst19900809" 暗示这可能是一个由用户"xst"在1990年8月9日分享的资源,很可能是指Visual FoxPro的一个精简版本。 【描述】提到“精简版VF”,意味着这个软件包是Visual FoxPro的轻量化版本,它在保持核心...
XST仪表手册.doc
10-22
XST仪表手册】是关于XST系列单输入通道数字式智能仪表的详细技术文档,主要涵盖该仪表的概述、型号规格、技术规格、安装与接线、操作、功能及参数说明、调校、故障处理、抗干扰措施、非标准功能等方面的信息。...
浅谈“跨站跟踪攻击(即CST/XST攻击)”
→_→
05-23 1782
漏洞名称: Cross-Site-Tracing"简称为 CST / XST-跨站式追踪攻击 描述: 攻击者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致cookie欺骗或者是中间人攻击。 检测条件: 需要目标 Web 服务器允许接受 Trace、Track 方法的请求。 客户端可以发送 Trace、Track..
跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
小王的技术库
11-08 1411
XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是 XSS 这个名字却一直保留至今。
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1208
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
HTTP的请求常用方法
伟迷不正的博客
12-10 1556
HTTP的请求常用方法:
常见前端安全问题概述
bluemoon_0的博客
01-17 391
常见前端安全问题概述
trace方法引起的xss漏洞
haoaaao的博客
04-27 1822
HTTP定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作。 虽然他们也可以是名词, 但这些请求方法有时被称为HTTP动词. 每一个请求方法都实现了不同的语义。其中,TRACE方法沿着到目标资源的路径执行一个消息环回测试。 关于TRACE方法 客户端发起一个请求时,这个请求可能要穿过防火墙、代理、网关或其他一些应用程序。每个中间节点都可能会修改原始的 HTTP 请求。TRACE 方法允许客户端在 最终将请求发送给服务器时,看看它变成了什么样子。 TRACE 请求会在目的
什么是 XSS 攻击?XSS 攻击有哪几种类型?
SCUhzs
12-27 3821
作者:代码熬夜敲来源:SegmentFault 思否社区前言:网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。什么是XSS攻击?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击有哪几种类型?常见的XSS攻击有三
Cross Site Tracing (XST) Attacks(跨站跟踪攻击)练习详细步骤(WebGoat5.4)
软件生命周期中的攻防博弈
08-28 2102
由于对web编程不是很熟悉,谨以此文分享给学习WebGoat但是web编程底子不好的小伙伴。 HTTP的Method中有专为调试Web Server连接的(TRACE/TRACK),但正式上线运行的WebServer如果支持Trace/Track方式,则一定存在跨站攻击漏洞。RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(
ecshop 跨站攻击
dzl4384的博客
08-29 131
ecshop的err.log一直报这个错误 [Wed Aug 29 13:45:24 2012] [error] [client 113.118.3.138] script '/var/www/html/ecshop/images/upload/Image/search.php' not found or unable to stat, referer:http://image.baidu.co...
XST攻击和 XSS 攻击有何异同?
最新发布
05-12
XST攻击和XSS攻击都属于Web应用程序攻击,但是它们的攻击方式和影响范围有所不同。 XSS攻击(Cross-Site Scripting)是一种常见的Web应用程序攻击攻击者利用Web应用程序中的漏洞,将恶意脚本注入到网页中,当用户访问该网页时,恶意脚本就会在用户的浏览器中执行,从而达到窃取用户信息、篡改网页内容等攻击目的。 XST攻击(Cross-Site Tracing)则是一种利用HTTP TRACE请求方法的攻击方式。攻击者通过构造HTTP TRACE请求,将恶意脚本注入到响应中,当其他用户访问该网站时,恶意脚本就会在其浏览器中执行,从而达到窃取用户信息、篡改网页内容等攻击目的。不过由于现代浏览器已经禁用了HTTP TRACE请求方法,因此XST攻击已经不再是一种常见的攻击方式。 因此,XST攻击和XSS攻击虽然都属于Web应用程序攻击,但是它们的攻击方式和影响范围有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值