HTTP TRACE が許可されています
low Web App Scanning プラグイン ID 98048
Language:
概要
HTTP TRACE が許可されています説明
HTTP TRACE メソッドを使用すると、クライアントはサーバーにリクエストを送信し、サーバーの応答で同じリクエストを返すことができます。これにより、クライアントは、サーバーがリクエストを期待通りに受信しているかどうかを判断できます。多くの場合、このメソッドはデバッグ目的で使用されます (リクエストが変更されずに到着することを検証するなど)。多くのデフォルトのインストールでは TRACE メソッドがまだ有効になっています。
それ自体は脆弱ではありませんが、サイバー攻撃者に HTTPOnly Cookie フラグをバイパスする方法を提供するため、XSS 攻撃によってセッショントークンへのアクセスに成功する可能性があります。
スキャナーが、影響を受けるページが HTTP TRACE メソッドを許可することを検出しました。
ソリューション
HTTP TRACE メソッドは通常、実稼働サイト内では必要ないため、無効にする必要があります。参考資料
プラグインの詳細
深刻度: Low
ID: 98048
タイプ: remote
ファミリー: Web Servers
公開日: 2017/3/31
更新日: 2022/4/6
スキャン テンプレート: api, basic, full, pci, scan
リスク情報
VPR
リスクファクター: Low
スコア: 2.2
CVSS v2
リスクファクター: Low
基本値: 2.6
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS スコアのソース: Tenable
CVSS v3
リスクファクター: Low
基本値: 3.1
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS スコアのソース: Tenable