Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 24/1/2003
Et nyopdaget sikkerhedshul findes i de fleste web-serverprogrammer. Det kan give angribere adgang til fortrolig information.Hullet er af typen cross-site scripting. Denne type sårbarheder kan give uvedkommende adgang til fortrolige oplysninger. Et typisk eksempel er et indlejret script, som en angriber narrer en bruger til at sende til en web-server. Serveren returnerer script-koden, der nu afvikles på brugerens pc, hvor det for eksempel kan sende cookies tilhørende web-stedet til angriberen. På den måde kan angriberen overtage brugerens session.
For at standse denne type angreb indførte Microsoft i efteråret en ny mulighed i cookies: Nu kunne man angive, at en cookie ikke måtte anvendes i scripts. Det sker, ved at den får betegnelsen "Httponly".
Under et forsøg på at teste sikkerheden i denne metode opdagede direktør Jeremiah Grossman fra Whitehat Security en ny form for cross-site scripting-sårbarhed. Den udnytter en funktion, der hidtil har været ganske upåagtet af de fleste: TRACE-kommandoen på web-servere.
Normalt reagerer web-servere primært på kommandoer som GET (send en web-side) og POST (modtag information fra en formular). Men de fleste servere understøtter også kommandoen TRACE. Den sender det input, man sender til serveren, retur til browseren.
Jeremiah Grossmans test viste, at han ved at udnytte TRACE-kommandoen kunne få serveren til at sende al information fra browseren retur - også cookies, der var mærket med Httponly.
Sårbarheden er testet i nyeste version af Internet Explorer, men findes også i andre browsere, der kan afvikle lokale scripts. Hvis en angriber vil udnytte sårbarheden, skal han lokke offeret til at klikke på et link. Det kan befinde sig på en web-side eller i en mail.
Whitehat Security anbefaler, at man slår TRACE-kommandoen fra på alle web-servere, der ikke direkte har brug for den. Men ifølge firmaet giver de fleste serverprogrammer ikke mulighed for at slå TRACE fra.