クロスサイトトレーシングとは

クロスサイトトレーシング(XST)は、HTTPの「TRACEメソッド」を悪用して、ユーザーの認証IDやパスワードを盗み出すことのできる脆弱性のこと。クロスサイトスクリプティング(XSS)と組み合わせることで被害の拡大を招く危険性が指摘されている。

TRACEメソッドとは、ユーザー側が送信したリクエストをそのまま返す機能のことで、XSTはこの機能を悪用する。悪意のスクリプトによってTRACEメソッドを実行、特定のWebサイト上で任意のスクリプトが実行できてしまうXSSの脆弱性と組み合わせると、暗号化されていないBasic認証のIDやパスワードが盗まれる可能性がある。

XSTを防ぐには、サーバー側でTRACEメソッドを受け付けない設定を行うことが大切だ。

セキュリティ用語辞典一覧ページへ

  • 日立システム×ケロロ軍曹『オチに願いを』コンテスト・結果発表!
  • カテゴリートップへ
  • マルウエア攻撃のプロ化、集中化が進む?2008年上半期の傾向