Cross Site Tracing (XST)

 S.a arkadaslar; Cross site Tracing Türkçe doküman bulunmayan ve biz Türklerin bilmedigi(istisnalar harici) bir vulnerability.

XSS ile akraba fakat islevleri farkli.

Üzerinde çalismalarim var,Sunu belirtmeliyim ki bu doküman bu konu hakkinda ilk Türkçe doküman (:

Baslayalim;

Cross Site Tracing sözlük anlami olarak ; Çapraz Site Gözleme.XST’i bulan kisi, açik hakkinda ; “Ilk buldugumda gerçekten kötü oldugunu düsünmüstüm.” Demis.

XST, bir attacker’in get,post vs. gibi bir yöntem ile girdigi veriyi web sunucusunun kabul etmesine dayanir.

Fakat TRACE temel olarak http verilerini taklit eder.

Genel olarak hata ayiklama için kullanilir.Bu sayede yüklendikten sonra verilerine göre etkin kilinir.

Sunucuya etkin kilma istegi gelene kadar, site yazi alanlarinda risk söz konusudur.Buralardan http cookies çalinabilir.

Buradaki asil hedef; kullanicilarin çerezlerini biriktirmek.

Buradaki attack sekli ise su;

Kullanici bir uygulamaya yanlis yönlendirilebilir, bu da attackerlar tarafindan avantaj kabul edilir.

XST’i Çalistirmak için 3 farkli yöntem vardir.

Java sockets, Microsoft. XMLHTTP activeX object, ve flash. Java prizlerindeki problem, kendi baglantilarini yaptiklarinda çerezlerini ve oturumlarini gözden geçiren kisiden ayri tutar bundan dolayi gözden geçiren kisiye iletmez.

Cross Site Scripting’den farki sudur;

XST ; Size sadece http’deki cookieleri çalip verebilir.

sadece Java yazilimlariyla http çerezleri elde edilemez.XST, xSS ‘den daha savunmasizdir.

Server savunmasiz ise XST’yi nasil test edip engelleriz?

Sunucu savunmasiz ise Burp Suite ti kullanacagiz. burp u aç ve tekrarlayiciyi seç. Buna benzer bir seylerin daveti varsa degistir. :

TRACE / HTTP/1.0

Header1: <script>alert(document.cookie);</script>

Trace secilebiliyorsa buna benzer bir seyler vardir:

HTTP/1.1 200 OK

Date: Sun, 23 Sep 2007 02:48:05 GMT

Server: Apache/1.3.34 (Ubuntu) mod_perl/1.29

Connection: close

Content-Type: message/http

TRACE / HTTP/1.0

Header1: <script>alert(document.cookie);</script>

*Not; Bu konu üzerinde çalismalarim devam ediyor.

*Kisa Süre Sonra bir XST Demosu yayinlayacagim.