Aller au contenu

Cross-site tracing

Un article de Wikipédia, l'encyclopédie libre.
Ceci est la version actuelle de cette page, en date du 30 mai 2019 à 13:31 et modifiée en dernier par Dhatier (discuter | contributions). L'URL présente est un lien permanent vers cette version.
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le cross-site tracing, abrégé XST, est une manière d'exploiter les failles de sécurité de type XSS (cross-site scripting), mettant à profit la méthode TRACE du protocole HTTP.

Une faille de type XSS ne permet normalement pas d'accéder aux informations (les cookies notamment) relatives à un autre site que celui faillible, à cause des modèles de sécurité des navigateurs. Le XST permet de contourner cette limitation en se servant de la méthode TRACE qui a pour fonction de renvoyer au client l'intégralité de l'en-tête de sa requête. Invoquée dynamiquement en JavaScript, grâce à XMLHttpRequest par exemple, elle permet dans certains cas de récupérer les cookies relatifs au domaine ciblé par la requête, parce que ceux-ci apparaissent automatiquement dans l'en-tête envoyée par le navigateur, et ainsi retournée par le serveur.

Il n'est pas nécessaire d'exploiter une faille de type XSS pour provoquer une requête TRACE.

Voir aussi

[modifier | modifier le code]

Sur les autres projets Wikimedia :

Lien externe

[modifier | modifier le code]
Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Cross-site_tracing&oldid=159694443 ».