- ข้อความ
- ประวัติศาสตร์
In January 2003 Jeremiah Grossman d
In January 2003 Jeremiah Grossman divulged a method to bypass the HttpOnly1 cookie restriction. He named it Cross-Site Tracing (XST), unwittingly starting a trend to attach “cross-site” to as many web-related vulnerabilities as possible.
Alas, the “XS” in XST evokes similarity to XSS (Cross-Site Scripting) which has the consequence of leading people to mistake XST as a method for injecting JavaScript. (Thankfully, character encoding attacks have avoided the term Cross-Site Unicode, XSU.) Although XST attacks rely on browser scripting to exploit the vulnerability, the vulnerability is not the injection of JavaScript. XST is a means for accessing headers normally restricted from JavaScript.
Confused yet?
First, review XSS. XSS vulnerabilities, better described as HTML injection, occur because a web application echoes an attacker’s payload within the HTTP response body — the HTML. This enables the attacker to modify a page’s DOM by injecting characters that affect the HTML’s layout, such as adding spurious characters like brackets (< and >) and quotes (‘ and “). Cross-site tracing relies on HTML injection to craft an exploit within the victim’s browser, but this implies that an attacker already has the capability to execute JavaScript. So, XST isn’t about injecting tags into the browser; the attacker must already be able to do that.
Cross-site tracing takes advantage of the fact that a web server should reflect the client’s HTTP message in its respose.2 The common misunderstanding of an XST attack’s goal is that it uses a TRACE request to cause the server to reflect JavaScript in the HTTP response body that the browser would consequently execute. As the following example shows, this is in fact what happens even though the reflection of JavaScript isn’t the real vulnerability. The green and red text indicates the response body. The request was made with netcat.
Alas, the “XS” in XST evokes similarity to XSS (Cross-Site Scripting) which has the consequence of leading people to mistake XST as a method for injecting JavaScript. (Thankfully, character encoding attacks have avoided the term Cross-Site Unicode, XSU.) Although XST attacks rely on browser scripting to exploit the vulnerability, the vulnerability is not the injection of JavaScript. XST is a means for accessing headers normally restricted from JavaScript.
Confused yet?
First, review XSS. XSS vulnerabilities, better described as HTML injection, occur because a web application echoes an attacker’s payload within the HTTP response body — the HTML. This enables the attacker to modify a page’s DOM by injecting characters that affect the HTML’s layout, such as adding spurious characters like brackets (< and >) and quotes (‘ and “). Cross-site tracing relies on HTML injection to craft an exploit within the victim’s browser, but this implies that an attacker already has the capability to execute JavaScript. So, XST isn’t about injecting tags into the browser; the attacker must already be able to do that.
Cross-site tracing takes advantage of the fact that a web server should reflect the client’s HTTP message in its respose.2 The common misunderstanding of an XST attack’s goal is that it uses a TRACE request to cause the server to reflect JavaScript in the HTTP response body that the browser would consequently execute. As the following example shows, this is in fact what happens even though the reflection of JavaScript isn’t the real vulnerability. The green and red text indicates the response body. The request was made with netcat.
0/5000
ในเดือน 2003 มกราคม Grossman เยเรมีย์ divulged วิธีการหลีกเลี่ยงข้อจำกัด HttpOnly1 คุกกี้ เขาตั้งชื่อมันข้ามไซต์ติดตาม (XST), แนวโน้มการแนบ "แฝง" ที่เริ่มต้นไม่ถึงช่องโหว่ที่เกี่ยวข้องกับเว็บมากเป็นไป
พักสามารถ "XS" ใน XST evokes คล้ายการ XSS (สคริปต์ข้ามไซต์) ซึ่งมีสัจจะผู้นำผิด XST เป็นวิธีสำหรับ injecting JavaScript (ขอบคุณ โจมตีการเข้ารหัสอักขระได้หลีกเลี่ยงระยะระหว่างไซต์ Unicode, XSU) แม้ว่าการโจมตี XST ใช้เบราว์เซอร์สคริปต์เพื่อใช้ช่องโหว่ที่ ช่องโหว่ที่ไม่ได้ฉีดจาวาสคริปต์ XST คือ วิธีการเข้าถึงหัวข้อจำกัดปกติจาก JavaScript
สับสนยัง?
ครั้งแรก ตรวจสอบ XSS ช่องโหว่ XSS อธิบายดี เป็น HTML ฉีด เกิดขึ้นเนื่องจากโปรแกรมประยุกต์เว็บ echoes ของโจมตีสิ่งที่เตรียมไว้ภายในร่างกายตอบสนอง HTTP แบบ HTML ทำให้ผู้โจมตีสามารถปรับเปลี่ยนของหน้าโดม โดยอักขระ injecting ที่มีผลต่อรูปแบบของ HTML ความเก๊อักขระเช่นเครื่องหมายวงเล็บ (< และ >) และใบเสนอราคา (" และ") ข้ามไซต์ติดตามอาศัยฉีด HTML เพื่อใช้ประโยชน์ภายในเบราเซอร์ของเหยื่อหัตถกรรม แต่หมายความว่า ผู้โจมตีมีความสามารถในการเรียกใช้ JavaScript อยู่แล้ว ดังนั้น XST ไม่เกี่ยวกับ injecting แท็กลงในเบราว์เซอร์ ผู้โจมตีต้องแล้วสามารถทำ
ติดตามข้ามไซต์ใช้ประโยชน์จากความจริงที่ว่าเว็บเซิร์ฟเวอร์ควรสะท้อนของไคลเอ็นต์ HTTP ข้อความเข้าใจผิดทั่วไปของเป้าหมายของการโจมตี XST ของ respose.2 เป็นว่า ใช้คำสืบค้นกลับทำเซิร์ฟเวอร์ถึง JavaScript ในร่างกายตอบสนอง HTTP ที่เบราว์เซอร์จะดำเนินการดังนั้น เป็นการแสดงตัวอย่างต่อไปนี้ นี้เป็นจริงสิ่งที่เกิดขึ้นแม้ว่าภาพสะท้อนของ JavaScript ไม่มั่นจริง ข้อความสีเขียว และสีแดงบ่งชี้ว่า ร่างกายตอบสนอง มีทำการร้องขอกับ netcat
พักสามารถ "XS" ใน XST evokes คล้ายการ XSS (สคริปต์ข้ามไซต์) ซึ่งมีสัจจะผู้นำผิด XST เป็นวิธีสำหรับ injecting JavaScript (ขอบคุณ โจมตีการเข้ารหัสอักขระได้หลีกเลี่ยงระยะระหว่างไซต์ Unicode, XSU) แม้ว่าการโจมตี XST ใช้เบราว์เซอร์สคริปต์เพื่อใช้ช่องโหว่ที่ ช่องโหว่ที่ไม่ได้ฉีดจาวาสคริปต์ XST คือ วิธีการเข้าถึงหัวข้อจำกัดปกติจาก JavaScript
สับสนยัง?
ครั้งแรก ตรวจสอบ XSS ช่องโหว่ XSS อธิบายดี เป็น HTML ฉีด เกิดขึ้นเนื่องจากโปรแกรมประยุกต์เว็บ echoes ของโจมตีสิ่งที่เตรียมไว้ภายในร่างกายตอบสนอง HTTP แบบ HTML ทำให้ผู้โจมตีสามารถปรับเปลี่ยนของหน้าโดม โดยอักขระ injecting ที่มีผลต่อรูปแบบของ HTML ความเก๊อักขระเช่นเครื่องหมายวงเล็บ (< และ >) และใบเสนอราคา (" และ") ข้ามไซต์ติดตามอาศัยฉีด HTML เพื่อใช้ประโยชน์ภายในเบราเซอร์ของเหยื่อหัตถกรรม แต่หมายความว่า ผู้โจมตีมีความสามารถในการเรียกใช้ JavaScript อยู่แล้ว ดังนั้น XST ไม่เกี่ยวกับ injecting แท็กลงในเบราว์เซอร์ ผู้โจมตีต้องแล้วสามารถทำ
ติดตามข้ามไซต์ใช้ประโยชน์จากความจริงที่ว่าเว็บเซิร์ฟเวอร์ควรสะท้อนของไคลเอ็นต์ HTTP ข้อความเข้าใจผิดทั่วไปของเป้าหมายของการโจมตี XST ของ respose.2 เป็นว่า ใช้คำสืบค้นกลับทำเซิร์ฟเวอร์ถึง JavaScript ในร่างกายตอบสนอง HTTP ที่เบราว์เซอร์จะดำเนินการดังนั้น เป็นการแสดงตัวอย่างต่อไปนี้ นี้เป็นจริงสิ่งที่เกิดขึ้นแม้ว่าภาพสะท้อนของ JavaScript ไม่มั่นจริง ข้อความสีเขียว และสีแดงบ่งชี้ว่า ร่างกายตอบสนอง มีทำการร้องขอกับ netcat
การแปล กรุณารอสักครู่..
มกราคม 2003 ในเรมีย์กรอสแมนเปิดเผยวิธีการที่จะหลีกเลี่ยงข้อ จำกัด คุกกี้ HttpOnly1 เขาตั้งชื่อมันข้ามเว็บไซต์ติดตาม (Xst) โดยไม่เจตนาเริ่มต้นแนวโน้มที่จะแนบ "ข้ามเว็บไซต์" ช่องโหว่เว็บที่เกี่ยวข้องให้มากที่สุดเท่าที่เป็นไปได้อนิจจา "XS" ใน Xst กระตุ้นความคล้ายคลึงกันที่จะ XSS (สคริปต์ข้ามไซต์) ซึ่งมีผลที่ตามมาของคนที่นำไปสู่การผิดพลาด Xst เป็นวิธีการฉีด JavaScript (โชคดีที่การโจมตีการเข้ารหัสอักขระจะหลีกเลี่ยงคำข้ามเว็บไซต์ Unicode, XSU.) แม้ว่าการโจมตี Xst พึ่งพาสคริปต์เบราว์เซอร์จะใช้ประโยชน์จากช่องโหว่ช่องโหว่ที่ไม่ฉีด JavaScript Xst เป็นวิธีการในการเข้าถึงส่วนหัวปกติ จำกัด จาก JavaScript สับสนหรือยังก่อนทบทวน XSS ช่องโหว่ XSS อธิบายที่ดีกว่าการฉีด HTML, เกิดขึ้นเนื่องจากโปรแกรมเว็บสะท้อนอัตราการโจมตีของภายในร่างกายตอบสนอง HTTP - HTML ซึ่งจะช่วยให้โจมตีเพื่อแก้ไข DOM ของหน้าเว็บโดยการฉีดตัวอักษรที่ส่งผลกระทบต่อรูปแบบ HTML เช่นการเพิ่มตัวละครปลอมเช่นวงเล็บ (<และ>) และราคา ('และ ") ติดตามข้ามเว็บไซต์ขึ้นอยู่กับการฉีด HTML เพื่อใช้ประโยชน์จากงานฝีมือภายในเบราว์เซอร์ของเหยื่อ แต่เรื่องนี้แสดงให้เห็นว่าการโจมตีแล้วมีความสามารถในการรันจาวาสคริปต์ ดังนั้น Xst ไม่เกี่ยวกับการฉีด
tags into the browser; the attacker must already be able to do that.
Cross-site tracing takes advantage of the fact that a web server should reflect the client’s HTTP message in its respose.2 The common misunderstanding of an XST attack’s goal is that it uses a TRACE request to cause the server to reflect JavaScript in the HTTP response body that the browser would consequently execute. As the following example shows, this is in fact what happens even though the reflection of JavaScript isn’t the real vulnerability. The green and red text indicates the response body. The request was made with netcat.
tags into the browser; the attacker must already be able to do that.
Cross-site tracing takes advantage of the fact that a web server should reflect the client’s HTTP message in its respose.2 The common misunderstanding of an XST attack’s goal is that it uses a TRACE request to cause the server to reflect JavaScript in the HTTP response body that the browser would consequently execute. As the following example shows, this is in fact what happens even though the reflection of JavaScript isn’t the real vulnerability. The green and red text indicates the response body. The request was made with netcat.
การแปล กรุณารอสักครู่..
ในเดือนมกราคม 2003 เยเรมีย์ Grossman และวิธีการหลีกเลี่ยงข้อ จำกัด httponly1 คุกกี้ . เขาตั้งชื่อมันข้ามเว็บไซต์ติดตาม ( xst ) โดยเริ่มมีแนวโน้มที่จะแนบ " ข้ามเว็บไซต์ " เป็นหลายเว็บที่เกี่ยวข้องกับช่องโหว่ที่เป็นไปได้
อนิจจา" XS " ใน xst ที่มีความคล้ายคลึงกับ xss ( ข้ามเว็บไซต์ สคริปต์ ) ซึ่งได้ผล นำคนผิด xst เป็นวิธีการฉีด JavaScript ( Thankfully , การเข้ารหัสอักขระการโจมตีจะหลีกเลี่ยงคำว่าข้ามเว็บไซต์แบบยูนิโค้ด xsu ) ถึงแม้ว่า xst การโจมตีพึ่งพาเบราว์เซอร์สคริปต์เพื่อใช้ประโยชน์จากช่องโหว่ , ช่องโหว่ไม่ฉีด JavaScriptxst จะหมายถึงการเข้าถึงถูกจำกัดจากส่วนหัวปกติ JavaScript
ยังสับสน ?
แรกทบทวน xss . xss ช่องโหว่ ดีกว่าอธิบายฉีด HTML เกิดขึ้นเนื่องจากโปรแกรมประยุกต์บนเว็บจะเป็นคนร้ายหลักภายในร่างกาย - การตอบสนอง http html นี้ช่วยให้โจมตีเพื่อปรับเปลี่ยนเพจดอมโดยฉีดตัวที่มีผลต่อรูปแบบของ HTML ,เช่นการเพิ่มตัวละครปลอมเหมือนวงเล็บ ( < > ) และราคา ( " และ " ) ข้ามเว็บไซต์ติดตามอาศัยฉีด HTML ฝีมือการใช้ประโยชน์ภายในเบราว์เซอร์ของเหยื่อ แต่บางที่โจมตีแล้วมีความสามารถในการรัน JavaScript ดังนั้น xst ไม่ใช่ฉีด < สคริปต์ > แท็กลงในเบราว์เซอร์ ; ผู้โจมตีจะต้องสามารถที่จะทำ .
ข้ามเว็บไซต์การใช้ประโยชน์จากความจริงที่ว่าเว็บเซิร์ฟเวอร์ควรสะท้อนให้เห็นถึงลูกค้า HTTP ข้อความใน respose 2 เข้าใจผิดที่พบบ่อยของเป้าหมายการ xst โจมตีที่ใช้ติดตามการร้องขอให้เซิร์ฟเวอร์เพื่อสะท้อน JavaScript ในการตอบสนอง HTTP ร่างกายที่เบราว์เซอร์จะจึงลงมือ เช่นตัวอย่างต่อไปนี้แสดงนี่คือในความเป็นจริงที่เกิดขึ้น แม้ภาพสะท้อนของ JavaScript ไม่ใช่ความอ่อนแอที่แท้จริง สีเขียวและสีแดงแสดงข้อความร่างกายตอบสนอง ขอขึ้นด้วย netcat .
อนิจจา" XS " ใน xst ที่มีความคล้ายคลึงกับ xss ( ข้ามเว็บไซต์ สคริปต์ ) ซึ่งได้ผล นำคนผิด xst เป็นวิธีการฉีด JavaScript ( Thankfully , การเข้ารหัสอักขระการโจมตีจะหลีกเลี่ยงคำว่าข้ามเว็บไซต์แบบยูนิโค้ด xsu ) ถึงแม้ว่า xst การโจมตีพึ่งพาเบราว์เซอร์สคริปต์เพื่อใช้ประโยชน์จากช่องโหว่ , ช่องโหว่ไม่ฉีด JavaScriptxst จะหมายถึงการเข้าถึงถูกจำกัดจากส่วนหัวปกติ JavaScript
ยังสับสน ?
แรกทบทวน xss . xss ช่องโหว่ ดีกว่าอธิบายฉีด HTML เกิดขึ้นเนื่องจากโปรแกรมประยุกต์บนเว็บจะเป็นคนร้ายหลักภายในร่างกาย - การตอบสนอง http html นี้ช่วยให้โจมตีเพื่อปรับเปลี่ยนเพจดอมโดยฉีดตัวที่มีผลต่อรูปแบบของ HTML ,เช่นการเพิ่มตัวละครปลอมเหมือนวงเล็บ ( < > ) และราคา ( " และ " ) ข้ามเว็บไซต์ติดตามอาศัยฉีด HTML ฝีมือการใช้ประโยชน์ภายในเบราว์เซอร์ของเหยื่อ แต่บางที่โจมตีแล้วมีความสามารถในการรัน JavaScript ดังนั้น xst ไม่ใช่ฉีด < สคริปต์ > แท็กลงในเบราว์เซอร์ ; ผู้โจมตีจะต้องสามารถที่จะทำ .
ข้ามเว็บไซต์การใช้ประโยชน์จากความจริงที่ว่าเว็บเซิร์ฟเวอร์ควรสะท้อนให้เห็นถึงลูกค้า HTTP ข้อความใน respose 2 เข้าใจผิดที่พบบ่อยของเป้าหมายการ xst โจมตีที่ใช้ติดตามการร้องขอให้เซิร์ฟเวอร์เพื่อสะท้อน JavaScript ในการตอบสนอง HTTP ร่างกายที่เบราว์เซอร์จะจึงลงมือ เช่นตัวอย่างต่อไปนี้แสดงนี่คือในความเป็นจริงที่เกิดขึ้น แม้ภาพสะท้อนของ JavaScript ไม่ใช่ความอ่อนแอที่แท้จริง สีเขียวและสีแดงแสดงข้อความร่างกายตอบสนอง ขอขึ้นด้วย netcat .
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- Talk later dear....chao
- Love always
- สันติภาพ
- Just doing some paper work
- @LoveQuotes: I want someone who will sta
- Stuck in a coma can't be save
- skid row
- ฉันยังเด็ก
- ยังผ่อนชำระอยู่
- เพื่อนของคุณไปวูดสต๊อกกี่คน
- ฉันขอโทษ ฉันแค่กลัวเสียคุณไปอีก
- เขาเลือกที่จะปิดบังเพื่อความสบายใจของฉัน
- your wife's barely left, and now this?
- production areas are kept clean and orga
- repair
- i don't worry
- The content of organic matter (OM) and p
- เพราะมันไม่ใช่ปัญหาของเรา
- i think i'd go to bed
- ฉันจะออนไลน น้อยลง
- I got u
- สมพงษ์
- you found your headset
- i practice safe food handling techniques
