Método HTTP TRACE permitido

En otras entradas hemos hablado acerca de el usar aplicaiones de terceros y el peligro de que estas tengan alguna vulnerabilidad de XSS o una puerta trasera en el que permita adquirir el rol de administrador de un portal o servidor, cambiar la contraseña e incluso editar el portal para demostrar que le fue posible hacer una jaqueca. En esta vulnerabilidad el metodo HTTP TRACE permite a un atacante explotar ciertos comandos atravez del navegdor de cualquier persona que este visitando el portal y tomar sus datos que son pasados atravez del navegador al servidor. Tales datos pueden ser encabezados HTTP o cookies que son utilizadas para autentificar alguna sesión de usuario a atacar.

Aqui dejo algunos whitpapers acerca de Cross-site tracing (XST)

0 comentarios:

Publicar un comentario