Verificador de Métodos HTTP

TRACE é o mais perigoso — habilita ataques de Cross-Site Tracing (XST) que podem roubar cookies mesmo quando HttpOnly está definido. PUT e DELETE são perigosos se irrestrito, pois podem permitir que atacantes façam upload ou excluam arquivos. CONNECT é usado para tunelamento de proxy e não deve ser exposto em servidores de aplicação.

Uma resposta 200/204 para PUT ou DELETE não significa necessariamente que um atacante pode sobrescrever arquivos — autenticação, middleware de autorização e roteamento de aplicação ainda podem bloquear ações não autorizadas. No entanto, a exposição desses métodos indica que seu servidor não está restringindo métodos HTTP na camada de rede, o que é uma prática ruim.

XST é um ataque onde TRACE ecoa tudo, incluindo o cabeçalho Authorization e cookies. Combinado com uma vulnerabilidade de Cross-Site Scripting (XSS), um atacante pode usar JavaScript para enviar uma requisição TRACE e ler os cookies ecoados — contornando o flag HttpOnly que normalmente impede o acesso JavaScript a cookies.

O cabeçalho Allow em uma resposta HTTP (tipicamente de uma requisição OPTIONS) lista os métodos HTTP que o servidor suporta para um recurso. Esta ferramenta usa o cabeçalho Allow como orientação, mas ainda envia requisições de sondagem para verificar o comportamento real — alguns servidores anunciam poucos métodos, mas aceitam mais.

Apache: Adicione "TraceEnable off" em httpd.conf ou .htaccess. Nginx: Adicione "if ($request_method = TRACE) { return 405; }" no bloco server. IIS: Use o módulo Request Filtering para bloquear o verbo TRACE. Node.js/Express: Adicione middleware para rejeitar requisições TRACE antes dos manipuladores de rota.