Trace атака
 

Доброго времени суток уважаемые Хакеры!

На одном сайте XSpider написал, что возможно атака с помощью метода TRACE.
в инете нашел такой код
подставляю за место http://site.ru мой сайт.
заливаю к себе на хостинг, жму кнопку и ничего ни в опере, ни в IE не нажимается... Что я делаю не так? Подскажите пожалуйста.

чушь это все ищи другую дырку

Открою страшный "секрет", Trace широко использовался для проведение xss, как метод обход атрибута "HttpOnly". С выходом(если точнее то патч) IE 6 стал доступен атрибут HTTP-only который при обращение к document.cookie возвращал пустую строчку( при попытки запроса к кукам ). Т.е. один из методов "перехвата"/получения данных которые были отосланы при запросе(HTTP-заголовки), Request line>Headers>Post data. По умолчанию метод HTTP TRACE включеным на серверах(отсутствие директивы "TraceEnable off" как таковой).
Пример:
http://img247.imageshack.us/img247/2...titled2hd9.jpg

Что значит не нажимается, включи в броузере яваскрипт - тогда будет нажиматься. Если не работает см. ошибки скрипта, например ИЕ указывает в каких строчках вываливается ошибка.
ЗЫ возможно у тя др. компонента активХ, например попробуй след.
'MSXML2.XMLHTTP.6.0',
'MSXML2.XMLHTTP.5.0',
'MSXML2.XMLHTTP.4.0',
'MSXML2.XMLHTTP.3.0',
'MSXML2.XMLHTTP',

Перепробовал различные коды, в ошибке постоянно писало "Недопустимый вызов или аргумент процедуры". Может, у кого-нибудь есть работающая страница, отсылающая запрос на какой-нибудь сайт?

xmlHttp.open ("\r\nTRACE","http://site.ru",false);
Это на ИЕ6 с патчем работает. На ИЕ7 уже нет. На Локалхосте тестил. На внешке пробовал - по-началу работало, потом ИЕ стал просто зависать. :) Так и не понял, почему, но, видимо, сервер просто перестал отвечать.