Hello there,
これまで主要な脆弱性診断ばかりやってきたものの。
『脆弱性診断ガイドライン』をみると、他にもいろいろとあって。
ひとつひとつ丁寧につぶしていこうかなと。
『不要なHTTPメソッド』には、TRACEメソッドについて書かれており。
下記のように簡単に診断できて。
結果は、ステータスが405で無効。
curl -X TRACE localhost
他にもBurp Suiteでは下記のような拡張機能もあって。
しかしながら、この診断はXST(Cross-Site Tracing)攻撃を懸念しているのかと。
であれば、主要な各ブラウザでは随分前からXST攻撃はできないはずなのですが。
なにを目的このような診断項目を挙げているのだろうかと。
あくまでも診断項目なのだから、現実的でないものは排除したほうがよさそうな。
Best regars,