XST漏洞检测工具 – nTrace

摘要

nTrace是一款用于检测XST漏洞的命令行安全工具 ,XST攻击也是攻击者将恶意代码嵌入主机上的Web文件,当访问者浏览时,恶意代码在浏览器中执行, 然后访问者的Cookie、http基本验证以及NTLM验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致Cookie欺骗或者是中间人攻击。   

nTrace是一款用于检测XST漏洞的命令行安全工具,XST攻击也是攻击者将恶意代码嵌入主机上的Web文件,当访问者浏览时,恶意代码在浏览器中执行, 然后访问者的Cookie、http基本验证以及NTLM验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致Cookie欺骗或者是中间人攻击。   

XST攻击条件:

1、需要目标Web服务器允许Trace参数; 

2、需要一个用来插入XST代码的地方; 

3、目标站点存在跨域漏洞。 

XST与XSS的比较:   

相同点:都具有很大的欺骗性,可以对主机产生危害,而且这种攻击是跨平台的,我们还可以利用Active控件、Flash、Java等来进行XST和XSS攻击。  

优点:可以绕过一般的http验证以及NTLM验证  

安装方法:

npm install -g ntrace

或者

git clone git://github.com/gabemarshall/ntrace.git

使用方法:

./ntrace.js --url=<www.url.com> --https=<yes or no> ./ntrace.js --url=www.google.com https=yes

更多阅读项目主页

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: