Può essere la minaccia più grave che un utente malintenzionato può fare con TRACE è accedere alla proprietà document.cookie in per dirottare la sessione della vittima. TRACE non funzionerà in alcun browser (per fortuna).
Per il caso che hai descritto, dipende dai livelli di sicurezza implementati sul server che l'hacker esegue contro e la domanda, come viene chiesto, è troppo ampia per rispondere esattamente. Ma tieni in mente che l'autore dell'attacco riceverà informazioni su come il server risponde a una determinata richiesta.
Per curiosità, eseguilo su Terminale ( 216.58.209.100 = www.google.com
):
curl -X TRACE 216.58.209.100
Riceverai questo messaggio di errore:
Error 405 (Method Not Allowed)!!1