اطلاعیه

Collapse
No announcement yet.

1. TRACE Method Enabled

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • 1. TRACE Method Enabled

    سلام . من به مشکلی بر خوردم گفتم شاید دوستان بتونن کمکم کنن . من یه سایت رو با اسکنر اسکن کردم و فقط این نقص رو پیدا کرد .

    1. TRACE Method Enabled
    Affects Web Server
    Details No details are available.
    Severity low
    Type Validation
    De******ion HTTP TRACE method is enabled on this web server. In the presence of other cross-domain vulnerabilities in web browsers, sensitive header information could be read from any domains that support the HTTP TRACE method.
    Impact Attackers may abuse HTTP TRACE functionality to gain access to information in HTTP headers such as ****ies and authentication data.
    Recommendation Disable TRACE Method on the web server.
    Reported by module CGI Tester
    References

    می خواستم بدونم روش استفاده از این آسیب پذیری چجوریه ؟ اصلاً می شه با این نقص کاری کرد یا بدرد نمی خوره ؟ ممنون می شم راهنماییم کنید .
    W3C - RFC 2616
    US-CERT VU#867593
    IIS 6 WWW Service Registry Entries
    Cross-site tracing (XST)

  • #2
    یکی نسیت جواب ما رو بده

    Comment


    • #3
      Web Vulnerability Scanner 3 یا 4 ؟

      خودش لینک نداد . فکر کنم خودش لینک میده با توضیحات

      Severity low .

      خیلی از سایت ها اینو دارن . اساتید لطف کن یه توصیح بدن .
      (◕‿◕)

      Comment


      • #4
        دوستان در مورد اين ارور يه توضيحي بديد...

        Comment


        • #6
          نوشته اصلی توسط You_You نمایش پست ها
          یکی نسیت جواب ما رو بده
          حالا چرا با 2 تا یوزر ؟!


          فرزند هنر باش نه فرزند پدر که هنر زنده کند نام پدر

          Comment


          • #7
            نوشته اصلی توسط Shabro نمایش پست ها
            توضیخات بیشتر:
            http://www.kb.cert.org/vuls/id/867593

            شبرو جان اینو خود اسکنر هم میده ؟ من روی دو سه سایت که این Alret داشت . کاری نتوستم بکنم .

            اگه میشه یه کم آبدارش کن . فدات
            (◕‿◕)

            Comment


            • #8
              فکر کنم شبرو سرش شلوغ باشه

              حالا

              De******ion:

              HTTP TRACE support is enabled on the Web server. The HTTP TRACE method as described in RFC 2616 of the HTTP 1.1 standard is typically used for debugging and network analysis purposes to request the contents of HTTP request messages received by the Web server. On Web servers with HTTP TRACE support enabled, a remote attacker could leverage this functionality with known cross-site ******ing and other Web browser vulnerabilities to obtain sensitive information about the Web server, including server ****ies and authentication information. This information could then be used by the attacker to launch further attacks against the affected Web server.

              Platforms Affected:

              * Apache: Apache HTTP Server Any version
              * Apple: Mac OS Any version
              * Cisco: Cisco IOS Any version
              * Data General: DG/UX Any version
              * HP: HP-UX Any version
              * HP: Tru64 UNIX Any version
              * IBM: AIX Any version
              * IBM: OS/2 Any version
              * Linux: Linux Any version
              * Microsoft: Microsoft IIS Any version
              * Microsoft: Windows 95
              * Microsoft: Windows 98
              * Microsoft: Windows 98 Second Edition
              * Microsoft: Windows Me
              * Microsoft: Windows XP
              * Microsoft: Windows 2000 Any version
              * Microsoft: Windows 2003 Any version
              * Microsoft: Windows NT 4.0
              * Novell: Novell NetWare Any version
              * Santa Cruz Operation: SCO Unix Any version
              * SGI: IRIX Any version
              * Sun: Solaris Any version
              * Wind River: BSD Any version

              Remedy:

              Administrators should disable HTTP TRACE support on the Web server. HTTP TRACE support can be disabled on Apache HTTP Server using the mod_rewrite module and on Microsoft Internet Information Services (IIS) using the URLScan tool.

              خلاصه . آدم باید .........

              a remote attacker could leverage this functionality with known cross-site ******ing and other Web browser vulnerabilities to obtain sensitive information about the Web server
              به درد حملات CSS / XSS میخوره .
              Disable کردن اون تو web server هست . مثلا تو web.config در ویندوز و یا http.conf در apache و ...

              خیلی حملات به درد بخوری نیستند .
              اما بعضی از موارد کاربرد های Session hijacking دارند .

              منبع : سیمرغ

              اگه کسی اطلاعات بیشتری داره . لطف کنه
              (◕‿◕)

              Comment


              • #9
                داشتم ترجمه میکردم که اتفاقی یه مقاله ی فارسی رو براش دیدم!
                نسخه ی فارسی رو که خوندید برید مثال های انگلیسی رو هم نگاه کنید
                فایل های پیوست شده
                ابزار های شبکه
                آموزش شبکه
                کاملترین آموزش کرک
                sigpic
                خاطراتی طنز از جنگ

                کاملترین مرجع حملات تزریقی Sql injection

                Comment

                Working...
                X