Cross-site tracing е често срещата мрежова уязвимост, екплойтваща HTTP TRACE метода. Среща се при всички големи български хостинг компании(за чужди не съм тествал). TRACE метода представлява механизъм за диагностика на проблеми с HTTP протокола. При пускате на TRACE заявка, сървъра връща пълна информация за него, включително всички чувствителни данни на клиента(бисквитки например). Всеки кракер може да измами потребителя да стартира скрипт, който генерира TRACE заявка и я изпраща до сървъра. Когато сървъра отговори, скрипта може да вземе бисквитката и да я изпрати на атакуващия. Този метод се използва когато конвенционалния XSS не работи, защото сайта използва HTTP only флаг на неговите бисквитки. За да се защитим от подобна атака, не трябва много усилия. Единственото което трябва да направим е да изключим TRACE метода в уеб сървъра. Аз лично не намерих отговор защо никой не го прави.

пробвайте сами за вашият сайт