“整个互联网都崩溃了”：道德黑客专家John Hammond对话James Kettle

在一场全新的合作中，道德黑客与应用安全专家John Hammond与世界知名安全研究员James Kettle共同探讨了数千万网站遭受攻击的现状。在本视频中，John和James深入分析了James最新的"HTTP/1.1必须消亡"研究，聚焦HTTP/1.1协议固有的安全缺陷。

为什么HTTP/1.1必须消亡？

James解释道，上游HTTP/1.1协议 routinely 使数百万网站面临恶意接管风险。六年来，供应商不断推出缓解措施，但研究人员始终能找到绕过方法。

在PortSwigger的最新研究中，James介绍了新型HTTP反同步攻击类别，并演示了影响数千万网站的关键漏洞，包括主要CDN的核心基础设施。现场演示使威胁更加具体，展示了攻击者如何利用基本协议缺陷造成毁灭性影响。

核心结论很明确：HTTP/1.1存在致命缺陷。它允许攻击者对请求的结束位置制造危险的歧义。相比之下，HTTP/2消除了这种歧义，使得反同步攻击几乎不可能发生——前提是不仅在前端使用，还要在反向代理与源服务器之间的上游连接中使用。

需要采取什么行动？

立即行动：加入消灭HTTP/1.1的使命

• 阅读研究：HTTP/1.1必须消亡：反同步终局
• 提升技能：在Web安全学院尝试20+个免费请求走私实验室，包括新的0.CL实验室
• 防御仍在使用HTTP/1.1的系统：使用Burp Suite扩展检测威胁，包括HTTP Request Smuggler v3.0和HTTP Hacker，并通过定期扫描保持领先
• 迁移到HTTP/2：确保源服务器支持HTTP/2，然后在前端系统中启用上游HTTP/2

加入运动

数千名安全测试人员、漏洞赏金猎人和应用安全专业人员已加入官方PortSwigger Discord服务器。立即加入服务器参与讨论，了解其他人如何在其应用中消灭HTTP/1.1。