Issue:
Is PowerChute Network Shutdown vulnerable to Cross Site Tracing (XST)?
Product:
PowerChute Network Shutdown
Environment:
All support OS
Cause:
Jetty web server
Solution:
The PCNS application is hosted on a Jetty Web Server. By default Jetty appears to have the HTTP TRACE method enabled.
In earlier versions of PowerChute (prior to 4.0), in response to an HTTP OPTIONS request the Jetty Web Server lists TRACE as an available option. However the TRACE method is blocked by the PCNS application.
HTTP/1.1 405 Method Not Allowed is sent in response to any TRACE request. Therefore PCNS is not vulnerable to CrossSite Tracing.
Cross site tracing (XST) is a vulnerability exploiting the HTTP TRACE method.
Further information can be found here:
http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf
Опубліковано для: Schneider Electric Україна
Потрібна допомога?
Інструмент вибору продукту
Швидко та легко знаходьте потрібні продукти й допоміжне обладнання для своїх завдань.
Розрахувати вартість
Ставте свої запитання щодо продажів онлайн, і з вами зв’яжеться фахівець
Де придбати?
Зручний пошук найближчого дистриб’ютора, магазина або спеціалізованого партнера Schneider Electric у вашому регіоні.
Довідковий центр
Знайдіть усі необхідні ресурси для підтримки в одному місці.
