全国咨询热线:136-9172-9932
如果 Web 服务器开放了 TRACE 方法(主要用于客户端通过向 Web 服务器提交 TRACE 请求 来进行测试或获得诊断信息),攻击者能够通过该方法进行跨站攻击。 跨站脚本攻击(Cross Site Script Execution,XSS)是指入侵者在远程 Web 页面的 HTML 代码 中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面时,嵌入其中 的脚本将被解释执行。由于 HTML 语言允许使用脚本进行简单交互,入侵者便通过技术手段在某 个页面里插入一个恶意 HTML 代码,例如记录论坛保存的用户信息(Cookie),由于 Cookie 保存 了完整的用户名和密码资料,用户就会遭受安全损失。如 JavaScript 脚本语句 alert(document.cookie) 就能轻易获取用户信息,它会弹出一个包含用户信息的消息框,入侵者运用脚本就能把用户信息发 送到他们自己的记录页面中,稍作分析便可以获取用户的敏感信息。
HTTP TRACE 方法测试的步骤如下: 第一步:单击“开始”→“运行”命令,输入 cmd 命令后 Enter 车键,运行 cmd.exe。 第二步:输入命令“telnet IP 端口”(其中 IP 和端口按实际情况填写,用空格隔开,如 telnet 192.168.1.3 80),然后按 Enter 键。 第三步:在新行中输入 TRACE/HTTP/1.0 命令,然后按 Enter 键。 第四步:观察返回的结果信息,Web 服务器返回的信息提示 TRACE 方法“not allowed”
