HTTP/1.1必须消亡:反同步攻击的终极对决
摘要
上游HTTP/1.1本质上不安全,定期使数百万网站面临恶意接管风险。六年的缓解尝试掩盖了问题但未能修复。本文介绍了几类新型HTTP反同步攻击技术,能够大规模泄露用户凭证。通过详细案例分析展示关键技术,包括通过颠覆Akamai、Cloudflare和Netlify核心基础设施暴露数千万网站的关键漏洞。同时介绍开源工具包,可系统检测解析器差异和特定目标弱点。该工具包与技术组合在两周内产生超过20万美元漏洞赏金。最终论证HTTP请求走私必须被认定为根本性协议缺陷。过去六年证明解决单个实现问题永远无法消除此威胁。尽管发现已报告并修补,网站仍默默易受未来变种攻击。这些都源于HTTP/1.1致命缺陷:微小实现错误常触发严重安全后果。HTTP/2+可解决此威胁。若想要安全网络,HTTP/1.1必须消亡。
反同步终局
HTTP/1.1的致命缺陷
HTTP/1.1存在致命且高度可利用的缺陷——单个HTTP请求间的边界非常脆弱。请求简单拼接在底层TCP/TLS套接字上而无分隔符,且有多种指定长度方式。这意味着攻击者可对请求起始位置制造极端歧义。大型网站常使用反向代理,将不同用户请求通过共享连接池汇聚到后端服务器。这意味着攻击者在服务器链中发现最微小解析器差异即可引发反同步,将恶意前缀应用于其他用户请求,通常实现完全站点接管。
隐藏但未修复的缓解措施
2025年HTTP/1.1无处不在但未必显眼。服务器和CDN常声称支持HTTP/2,但实际将传入HTTP/2请求降级为HTTP/1.1传输至后端系统,从而丧失大部分安全优势。降级传入HTTP/2消息比端到端使用HTTP/1.1更危险,因其引入第四种指定消息长度方式。本文使用以下缩写表示四种主要长度解释:
- CL(Content-Length)
- TE(Transfer-Encoding)
- 0(隐式零)
- H2(HTTP/2内置长度)
赢得反同步终局的策略
检测解析器差异
在反同步终局中,因缓解措施、复杂性和特性使得漏洞检测困难。需要可靠识别反同步攻击根本缺陷的检测策略。Daniel Thacher在2021年黑帽欧洲会议上提出使用Content-Length头检测解析器差异的方法。受此启发开发了开源Burp Suite扩展HTTP Request Smuggler v3.0。
理解V-H和H-V差异
通过分析部分隐藏Host头触发的独特响应,可推断服务器链中存在解析器差异。关键可能性:
- 可见-隐藏(V-H):前端可见掩码Host头但对后端隐藏
- 隐藏-可见(H-V):前端隐藏掩码Host头但对后端可见
0.CL反同步攻击
0.CL攻击广泛认为不可利用,因常导致上游连接死锁。突破关键在于找到早期响应装置——使后端服务器无需等待主体到达即响应请求。在IIS上可通过请求文件系统映射文件夹中的"con"触发操作系统异常实现。
基于Expect的反同步攻击
Expect头是古老优化措施,将单个HTTP请求发送拆分为两步过程。但该机制对反向代理极为复杂。研究发现Expect头可导致:
- 绕过响应头移除
- 内存泄露
- 0.CL和CL.0反同步漏洞
防御HTTP反同步攻击
为何修补HTTP/1.1不足
所有攻击都利用实现缺陷,但根源相同。HTTP/1.1致命缺陷——弱请求分离意味着小错误常有关键影响。 compounded by两个关键因素:协议复杂性和修补困难。
HTTP/2与HTTP/1安全性对比
上游HTTP/2+使反同步漏洞可能性大幅降低。因HTTP/2是二进制协议,消息长度零歧义。虽存在实现错误,但给定错误实际可利用概率显著降低。
如何用HTTP/2击败请求走私
确保源服务器支持HTTP/2,在代理上启用上游HTTP/2。确认支持厂商包括:HAProxy、F5 Big-IP、Google Cloud、Imperva、Apache(实验性)和Cloudflare(但内部使用HTTP/1)。
如何在HTTP/1.1中生存
若目前 stuck with上游HTTP/1.1,可采取策略:
- 启用前端所有可用规范化和验证选项
- 后端启用验证选项
- 避免小众Web服务器
- 定期使用HTTP Request Smuggler扫描
- 禁用上游连接复用(可能影响性能)
- 拒绝方法不需要主体的请求(GET/HEAD/OPTIONS)
结论
过去六年表明,HTTP/1.1设计缺陷定期使网站面临关键攻击。修补单个实现的尝试未能跟上威胁步伐,唯一可行长期解决方案是上游HTTP/2。这非快速修复,但通过提高对上游HTTP/1.1危险性的认识,可帮助消灭HTTP/1.1。
好运!
James Kettle