クロスサイトトレーシングとは

クロスサイトトレーシング(XST)は、HTTPの「TRACEメソッド」を悪用して、ユーザーの認証IDやパスワードを盗み出すことのできる脆弱性のこと。クロスサイトスクリプティング(XSS)と組み合わせることで被害の拡大を招く危険性が指摘されている。

TRACEメソッドとは、ユーザー側が送信したリクエストをそのまま返す機能のことで、XSTはこの機能を悪用する。悪意のスクリプトによってTRACEメソッドを実行、特定のWebサイト上で任意のスクリプトが実行できてしまうXSSの脆弱性と組み合わせると、暗号化されていないBasic認証のIDやパスワードが盗まれる可能性がある。

XSTを防ぐには、サーバー側でTRACEメソッドを受け付けない設定を行うことが大切だ。