반응형 XST1 XST(Cross Site Tracing)란? 정의 - HTTP TRACE Method를 이용한 공격 - HttpOnly 로 보호된 세션 쿠키값을 탈취 가능 *TRACE Method? - HTTP 요청값을 그대로 응답에 포함시켜 전달 HttpOnly - 해당 기능이 적용되어 있는 경우 Javascript에서 쿠키값에 접근하지 못함. - document.cookie 사용 불가 XST - HttpOnly 기능이 적용되어 있는 웹사이트는 쿠키값을 탈취할 수 없으나, TRACE메소드가 허용되어 있으면 해당 메소드 요청으로 쿠키값 전송 가능 이 공격이 성공하기 위해서 - HttpOnly 설정이 되어있지만, TRACE메소드는 제한하고 있지 않은 경우 사용 가능 대응방안 - TRACE Method 비활성화 2023. 9. 4. 이전 1 다음 반응형