Атака Cross-Site Tracing (XST) передбачає використання міжсайтового сценарію (XSS). Він використовує методи TRACE або TRACK HTTP, які дозволяють клієнту бачити, що отримується на іншому кінці ланцюжка запитів. Потім він використовується для тестування або діагностичної інформації.

Спосіб роботи XST обертається навколо змусити веб-сервер передавати конфіденційну інформацію, насамперед файли cookie, на контрольований зловмисником домен. Ця експлуатація зазвичай складається з кількох кроків: Виявлення точки ін’єкції: зловмисник ідентифікує веб-програму, вразливу до XST.

Міжсайтове відстеження (XST) дозволяє зловмиснику викрасти файл cookie сеансу жертви та, можливо, інші облікові дані автентифікації, які передаються в заголовку запиту HTTP, коли браузер жертви зв’язується з веб-сервером цільової системи.

XST можна використовувати як спосіб викрадення файлів cookie користувача за допомогою міжсайтового сценарію (XSS), навіть якщо файл cookie має прапорець «HttpOnly» або відкриває заголовок авторизації користувача. Метод TRACE, хоч і здається нешкідливим, може бути успішно використаний у деяких сценаріях викрадати облікові дані законних користувачів.

Міжсайтовий сценарій (також відомий як XSS). вразливість веб-безпеки, яка дозволяє зловмиснику скомпрометувати взаємодію користувачів із уразливою програмою. Це дозволяє зловмиснику обійти ту саму політику походження, яка призначена для відокремлення різних веб-сайтів один від одного.

Метод HTTP TRACE — це особливий тип HTTP-запиту, який виконує перевірку зациклення повідомлення на шляху до цільового ресурсу. Це дозволяє вам побачити точне повідомлення, яке отримав кінцевий одержувач, за винятком будь-яких конфіденційних даних, таких як файли cookie або облікові дані.