- A+
所属分类:神兵利刃
nTrace是一款用于检测XST漏洞的命令行安全工具,XST攻击也是攻击者将恶意代码嵌入主机上的Web文件,当访问者浏览时,恶意代码在浏览器中执行, 然后访问者的Cookie、http基本验证以及NTLM验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致Cookie欺骗或者是中间人攻击。
XST攻击条件:
1、需要目标Web服务器允许Trace参数;
2、需要一个用来插入XST代码的地方;
3、目标站点存在跨域漏洞。
XST与XSS的比较:
相同点:都具有很大的欺骗性,可以对主机产生危害,而且这种攻击是跨平台的,我们还可以利用Active控件、Flash、Java等来进行XST和XSS攻击。
优点:可以绕过一般的http验证以及NTLM验证
安装方法:
npm install -g ntrace
或者
git clone git://github.com/gabemarshall/ntrace.git
使用方法:
./ntrace.js --url=<www.url.com> --https=<yes or no> ./ntrace.js --url=www.google.com https=yes
更多阅读项目主页
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
