Ruby-Script: Webserver auf TRACE-Methode prüfen

'TRACE' is a HTTP request method used for debugging which echo's back input back to the user. Jeremiah Grossman from Whitehatsec posted a paper outlining a risk allowing an attacker to steal information including Cookies, and possibly website credentials.

[Quelle: CGISecurity]

Auf deutsch kurz zusammen gefasst: Mit der HTTP-Trace Methode kann ein Request zum Server gesendet werden, der unter Umständen sogar Cookies auslesen kann. Daher wird von vielen Security-Scannern empfohlen diese Methode abzuschalten.

Heute ist aus der Not ein Script zu brauchen, welches über die Kommandozeile testen kann, ob TRACE eingeschaltet ist ein kleines Script entstanden, welches den Status der Serverantwort zurück liefert, die bei einem TRACE ausgelöst wird. [GitHub]

Sollte das Script eine "403" oder "405" ausgeben, ist TRACE verboten und die Anfrage nicht durchführbar. Im Falle einer "200" wurde die Anfrage beantwortet. Dann kann mit der Anleitung, die z.B. auf dem Adminlife-Blog veröffentlicht wurde TRACE abgeschaltet werden.