Cross-site tracing

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le cross-site tracing, abrégé XST, est une manière d'exploiter les failles de sécurité de type XSS (cross-site scripting), mettant à profit la méthode TRACE du protocole HTTP.

Une faille de type XSS ne permet normalement pas d'accéder aux informations (les cookies notamment) relatives à un autre site que celui faillible, à cause des modèles de sécurité des navigateurs. Le XST permet de contourner cette limitation en se servant de la méthode TRACE qui a pour fonction de renvoyer au client l'intégralité de l'en-tête de sa requête. Invoquée dynamiquement en JavaScript, grâce à XMLHttpRequest par exemple, elle permet dans certains cas de récupérer les cookies relatifs au domaine ciblé par la requête, parce que ceux-ci apparaissent automatiquement dans l'en-tête envoyée par le navigateur, et ainsi retournée par le serveur.

Il n'est pas nécessaire d'exploiter une faille de type XSS pour provoquer une requête TRACE.

Voir aussi[modifier | modifier le code]

• XSS
• Cross-site cooking
• Cross-Site Request Forgery
• Vulnérabilité (informatique)

Lien externe[modifier | modifier le code]

• http://www.kb.cert.org/vuls/id/867593

• Portail de la sécurité informatique