Quando parliamo di Cross-Site Tracing o XST siamo umanamente portati ad associarla alla vulnerabilità Cross-Site Scripting probabilmente più per assonanza che per somiglianza tra tecniche di attacco. Se da un lato XSS indica una vulnerabilità in grado di comportare l’inettamento di codice HTML, l’XST si basa su tutt’altro funzionamento.

XST è una tecnica per superare i limiti dei cookie HttpOnly.
Il suo funzionamento mescola l’utilizzo di Cross-site Scripting (XSS) e dei metodi HTTP TRACE o TRACK.

Utilizzata in seguito dagli attaccanti, questa procedura viene ideata agli inizi del 2000 da Jeremiah Grossman, il quale da il via inconsapevole allo sfruttamento di una nuova vulnerabilità web-based

In quest’articolo vediamo la dinamica di un attacco XST e come prevenirlo.

xst attack

Che cos’è il metodo HTTP TRACE?

Il metodo HTTP TRACE viene implementato a puro scopo diagnostico.

Questa metodologia se abilitata consente ad un server web di rispondere ad una richiesta riportando nella risposta l’esatta richiesta ricevuta.
Questo meccanismo di loopback è utile per il debug.

Se da un lato, questa modalità può suggerire preziose informazioni allo sviluppatore è certamente un’arma a doppio taglio poiché può comportare la divulgazione di informazioni sensibili come i cookie o le credenziali di accesso ad un sito web.

Infatti, un utente malintenzionato può utilizzare il suo ActiveX o un altro sistema vulnerabile per creare una pagina web dannosa che consente al client richiedente d’inviare la sua richiesta TRACE e ottenere il cookie del client.

In questo modo, la richiesta si traduce effettivamente in un attacco di scripting tra siti.

Che cos’è un attacco XST?

Il cross-site tracing (XST) è identificabile come la versione avanzata di un attacco cross-site scripting (XSS) lato client.

L’intento di un XST attack è di aggirare le misure di sicurezza dell’applicazione web-based o di un sito web al fine di sottrarre i cookie delle vittime.
XST non è certo una vulnerabilità nota di recente scoperta, il suo utilizzo risale ai primi anni 2000 e molti browser web hanno introdotto protezioni efficaci contro questo genere di richieste.

La stessa Microsoft, nel 2002 rilascia una patch per gli attacchi XSS chiamata “HTTPOnly” grazie alla quale era possibile impedire a JavaScript di accedere ai cookie degli utenti (e al conseguente invio di questi a terze parti). Eppure, in breve tempo, alcuni attaccanti hanno trovato ugualmente il modo di aggirare questa metodologia.
L’attacco può verificarsi solo quando è presente una vulnerabilità XSS e il server supporta HTTP TRACE.
Un tipico attacco XST inizia quando un ignaro utente accede a un sito Web ospitato da un server compromesso.
Il codice di scripting viene consegnato al PC della vittima dal server fallato. Il computer della vittima invia una richiesta HTTP TRACE tramite browser web a un altro sito visitato di recente dal computer della vittima, il sito risponde allo stesso modo con cookie o altri dati di autenticazione al server compromesso.

Come prevenire un attacco XST?

Alcuni suggerimenti per proteggersi da un attacco XST

  • Elimina cookie
    imposta il tuo browser web in modo che elimini automaticamente tutti i cookie al termine di ogni sessione. Puoi anche farlo manualmente, poiché la maggior parte dei browser Web ti consente di eliminare i cookie in qualsiasi momento.
  • Disattivare il metodo TRACE HTTP
    Se stai usando Apache e il metodo TRACK HTTP se stai usando Microsoft IIS.
  • Aggiornamenti di sistema
    aggiorna regolarmente il browser web e il sistema operativo con le patch di sicurezza.
  • Aggiornare il browser web in uso secondo le ultime versioni
    L’utilità degli aggiornamenti di un browser web sono assolutamente necessari e propedeutici per disabilitare le funzioni di plug-in per siti web che possono contenere exploit.
  • Disabilita tecnologie come ActiveX
    sebbene il white paper utilizzi ActiveX come esempio, gli attacchi sono possibili anche nei browser con JavaScript e altre tecnologie simili abilitate.

Per gli amministratori di server, Open Web Application Security Project (OWASP) consiglia di disabilitare il metodo HTTP TRACE sul server Web.
Pur trattandosi di una tecnologia, in buona sostanza sorpassata, alcuni amministratori di server Web la utilizzano ancora per scopi di debug.
Concludendo, sebbene XST sia un vettore di attacco relativamente vecchio, capire come funziona può aiutare a proteggere da attacchi simili che sfruttano la stessa vulnerabilità.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.