¿Qué atacante se beneficiará de la explotación de TRACE y cuál es la recomendación para solucionar este problema?
Todo lo que se envíe en una solicitud utilizando el método HTTP TRACE se reflejará en la respuesta.
Esto puede llevar a ataques de Rastreo de sitios cruzados (XST), que podrían llevar a robar la cookie de un usuario incluso si la cookie tiene el indicador de atributo HTTPOnly establecido.
El método HTTP TRACE se usa solo para fines de depuración y debe estar deshabilitado.
Configuración de Apache:
TraceEnable off
Configuración del registro IIS:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
EnableTraceMethod: 0
Lea otras preguntas en las etiquetas web-application appsec http exploit