Hello there,

 

これまで主要な脆弱性診断ばかりやってきたものの。

『脆弱性診断ガイドライン』をみると、他にもいろいろとあって。

ひとつひとつ丁寧につぶしていこうかなと。

『不要なHTTPメソッド』には、TRACEメソッドについて書かれており。

下記のように簡単に診断できて。

結果は、ステータスが405で無効。

　curl -X TRACE localhost

 

 

他にもBurp Suiteでは下記のような拡張機能もあって。

 

 

しかしながら、この診断はXST(Cross-Site Tracing)攻撃を懸念しているのかと。

であれば、主要な各ブラウザでは随分前からXST攻撃はできないはずなのですが。

なにを目的このような診断項目を挙げているのだろうかと。

あくまでも診断項目なのだから、現実的でないものは排除したほうがよさそうな。

 

Best regars,