Cross-site tracing

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis Cross site tracing)
Aller à : navigation, rechercher
image illustrant la sécurité informatique
Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le cross-site tracing, abrégé XST, est une manière d'exploiter les failles de sécurité de type XSS (cross-site scripting), mettant à profit la méthode TRACE du protocole HTTP.

Une faille de type XSS ne permet normalement pas d'accéder aux informations (les cookies notamment) relatives à un autre site que celui faillible, à cause des modèles de sécurité des navigateurs. Le XST permet de contourner cette limitation en se servant de la méthode TRACE qui a pour fonction de renvoyer au client l'intégralité de l'en-tête de sa requête. Invoquée dynamiquement en JavaScript, grâce à XMLHttpRequest par exemple, elle permet dans certain cas de récupérer les cookies relatifs au domaine ciblé par la requête, parce que ceux-ci apparaissent automatiquement dans l'en-tête envoyée par le navigateur, et ainsi retournée par le serveur.

Il n'est pas nécessaire d'exploiter une faille de type XSS pour provoquer une requête TRACE.

Voir aussi[modifier | modifier le code]

Sur les autres projets Wikimedia :

Lien externe[modifier | modifier le code]