반응형
정의
- HTTP TRACE Method를 이용한 공격
- HttpOnly 로 보호된 세션 쿠키값을 탈취 가능
*TRACE Method?
- HTTP 요청값을 그대로 응답에 포함시켜 전달
HttpOnly
- 해당 기능이 적용되어 있는 경우 Javascript에서 쿠키값에 접근하지 못함.
- document.cookie 사용 불가
XST
- HttpOnly 기능이 적용되어 있는 웹사이트는 쿠키값을 탈취할 수 없으나, TRACE메소드가 허용되어 있으면 해당 메소드 요청으로 쿠키값 전송 가능
이 공격이 성공하기 위해서
- HttpOnly 설정이 되어있지만, TRACE메소드는 제한하고 있지 않은 경우 사용 가능
대응방안
- TRACE Method 비활성화
반응형
'보안' 카테고리의 다른 글
| 클릭 재킹(Click jacking) 개념, 대응방안, 실습 (1) | 2024.07.29 |
|---|---|
| 제로 트러스트란? (1) | 2023.12.07 |
| 정보보안기사 필기 및 실기 합격 후기 및 공부법에 대하여.. (3) | 2023.10.09 |
