Rastreamento Cross-Site

Descrição

A Cross-Site Tracing ataque (XST) envolve o uso de Cross-site Scripting (XSS) e

TRACE ou TRACK métodos HTTP. De acordo com a RFC 2616, "TRACE permite que o cliente
possa ver o que está a ser recebido na outra extremidade da cadeia de pedido e
utilizar esses dados para o teste ou a informação de diagnóstico.", O método age na
mesma maneira, mas é específico para o servidor web IIS da Microsoft. XST poderia
ser usada como um método para roubar cookies do usuário por meio de Cross-site
Scripting (XSS), mesmo se o cookie tem o "HttpOnly" set bandeira e / ou expor
cabeçalho de autorização do usuário.
O método TRACE, embora aparentemente inofensivo, pode ser aproveitado com sucesso
em alguns cenários para roubar credenciais de usuários legítimos. Esta técnica de
ataque foi descoberta por Jeremiah Grossman, em 2003, em uma tentativa de contornar
a tag HttpOnly que a Microsoft introduziu no Internet Explorer 6 SP1 para proteger
os cookies sejam acessados por JavaScript. Por uma questão de fato, um dos padrões
de ataque mais recorrentes em Cross Site Scripting é acessar o objeto Document e
enviá-lo para um servidor web controlado pelo atacante para que ele / ela possa
sequestrar a sessão da vítima (Hijacking). Marcando um cookie como HttpOnly proíbe
JavaScript para acessá-lo, protegendo-o de ser enviado para um terceiro. No
entanto, o método de rastreamento pode ser usado para contornar essa proteção e
acessar o cookie, mesmo neste cenário.
Navegadores modernos agora evitar solicitações de rastreamento estão sendo feitas
via JavaScript, no entanto, outras formas de envio de solicitações de rastreamento
com os navegadores foram descobertos, como o uso de Java.

Exemplos

Um exemplo usando cURL na linha de comando para enviar um pedido de rastreio para
um servidor web no localhost com TRACE ativada. Observe como o servidor web
responde com o pedido, que foi enviado a ele.

$ curl -X TRACE 127.0.0.1

TRACE / HTTP/1.1
User-Agent: curl/7.24.0 (x86_64-apple-darwin12.0) libcurl/7.24.0 OpenSSL/0.9.8r
zlib/1.2.5
Host: 127.0.0.1
Accept: */*

Neste exemplo ele avisa de como nós enviamos um cabeçalho de cookie com o pedido e
que também está na resposta do servidor web.

$ curl -X TRACE -H "Cookie: name=value" 127.0.0.1

TRACE / HTTP/1.1
User-Agent: curl/7.24.0 (x86_64-apple-darwin12.0) libcurl/7.24.0 OpenSSL/0.9.8r
zlib/1.2.5
Host: 127.0.0.1
Accept: */*
Cookie: name=value

Neste exemplo, o método TRACE é desativado, observe como obtemos um erro, em vez de
o pedido que enviamos.
$ curl -X TRACE 127.0.0.1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method TRACE is not allowed for the URL /.</p>
</body></html>

Exemplo JavaScript XMLHttpRequest com o pedido TRACE. No Firefox 19.0.2 não

funcionará e retornará um erro "valor ilegal". No Google Chrome 25.0.1364.172 não
vai funcionar e retornar um "erro Uncaught: SecurityError: DOM Exception 18" de
erro. Isso ocorre porque os navegadores modernos agora bloqueiam o método TRACE em
XMLHttpRequest para ajudar a mitigar XST.

<script>
var xmlhttp = new XMLHttpRequest();
var url = 'http://127.0.0.1/';

xmlhttp.withCredentials = true; // send cookie header

xmlhttp.open('TRACE', url, false);
xmlhttp.send();
</script>

Remediação ~

Apache

Em versões do Apache 1.3.34, 2.0.55 ou posteriores, definir a directiva TraceEnable

para "off" no arquivo de configuração principal e, em seguida, reiniciar o Apache.
Veja TraceEnable para mais informações.

TraceEnable off