“整个互联网都坏了”：道德黑客专家John Hammond对话James Kettle

在一场全新的合作中，道德黑客与应用安全专家John Hammond与世界知名安全研究员James Kettle共同探讨了数千万网站遭受攻击的现状。在本视频中，John和James深入剖析了James最新的“HTTP/1.1必须消亡”研究——这项处于Web安全前沿的工作聚焦于HTTP/1.1与生俱来的不安全特性。

为什么HTTP/1.1必须消亡？

正如James所解释的，上游HTTP/1.1常规性地使数百万网站面临恶意接管风险。六年来，供应商不断推出各种缓解措施，但研究人员始终能找到绕过方法。

在PortSwigger的最新研究中，James引入了新型HTTP反同步攻击类别，并演示了影响数千万网站的关键漏洞，包括主要CDN中的核心基础设施。现场演示让这一威胁变得更加具体，展示了攻击者如何利用基础协议缺陷造成毁灭性影响。

结论很明确：HTTP/1.1存在致命缺陷。它允许攻击者对请求的结束位置和下一个请求的开始位置制造危险的歧义。相比之下，HTTP/2消除了这种歧义，使得反同步攻击几乎不可能发生——前提是它不仅要在边缘使用，还要在反向代理与源服务器之间的上游连接中使用。

我需要做什么？

立即行动：加入消灭HTTP/1.1的使命

• 阅读研究：HTTP/1.1必须消亡：反同步终局
• 提升技能：在Web安全学院尝试20+免费请求走私实验室，包括新的0.CL实验室
• 防御仍在使用HTTP/1.1的系统：使用Burp Suite扩展检测威胁，包括HTTP Request Smuggler v3.0和HTTP Hacker，并通过定期扫描保持领先
• 迁移到HTTP/2：确保源服务器支持HTTP/2，然后在前端系统中启用上游HTTP/2

加入这场运动

数千名安全测试人员、漏洞赏金猎人和应用安全专业人士已加入官方PortSwigger Discord服务器。立即加入服务器参与讨论，了解其他人如何在其应用程序中消灭HTTP/1.1。