HTTP/1.1必须淘汰:对渗透测试服务商的重大安全启示

本文深入分析了HTTP/1.1协议在请求走私攻击中的根本性缺陷,揭示了当前防御措施的局限性,并提供了基于协议层检测的先进工具与方法,帮助安全团队发现传统测试难以察觉的高危漏洞。

在Black Hat USA和DEFCON 2025大会上,PortSwigger研究总监James Kettle发出严厉警告:请求走私攻击不仅没有消失,反而正在演进和蔓延。尽管经过多年的防御努力,Kettle公布的新研究证明,HTTP请求走私(或称“desync”攻击)不仅依然猖獗,而且被危险地低估,已危及全球数千万本应安全防护的网站。

在其开创性研究《HTTP/1.1必须淘汰:Desync终局》中,Kettle呼吁安全社区彻底重新思考应对请求走私的方法。他指出,在实际应用中,几乎不可能持续可靠地确定HTTP/1.1请求之间的边界,特别是在由互连系统链构成的现代Web架构中。解析差异等错误不可避免,而在使用上游HTTP/1.1时,即使是最微小的漏洞也常常产生关键性安全影响,包括完整的站点接管。

这项研究明确表明,修补单个实现永远不足以消除请求走私的威胁。使用上游HTTP/2提供了稳健的解决方案。如果我们认真对待现代Web安全,就该彻底淘汰HTTP/1.1。

对于MSSP和合同制渗透测试人员而言,这既代表关键的服务缺口,也提供了独特机会,可交付竞争对手遗漏的高价值发现。

客户环境中埋藏的风险

请求走私存在于系统之间的缝隙中,无论是代理、CDN还是分布式后端。HTTP/1.1充满了让这些系统对请求边界产生分歧的可能性。PortSwigger的最新研究证实了一个令人不安的事实:请求走私漏洞不仅仍然极为普遍,而且试图缓解这些漏洞的措施实际上只是让它们更难被发现。在许多情况下,这些缓解措施反而通过增加系统确定每个请求起止方式的复杂性,使问题更加严重。

多个主要CDN被发现易受新的desync向量和知名漏洞的微妙变体攻击,暴露了超过2400万客户网站。

这并非学术风险;研究人员在完全绕过号称经过实战考验的缓解措施后,通过这些技术获得了超过20万美元的漏洞赏金,突显了问题的普遍性和严重性。如果您在结果驱动的MSSP模式下运营,这应同时标志着机遇和紧迫性。

因此,这些漏洞不仅难以发现;它们还被当前的防御机制主动掩盖。这使您作为外部测试人员,能够通过揭示内部团队、扫描器和其他第三方承包商遗漏的问题,展示真正的价值。

这对您的业务意味着什么

您的客户依赖您在压力下交付有意义、深入且有影响力的结果。Desync问题是实现这一目标的完美领域,因为它们只能通过协议级检查检测,可能在客户技术栈中隐藏多年,并具有切实的高严重性影响。以下是如何利用这项研究获得优势:

打破浅层假设:HTTP降级尤其危险。声称支持HTTP/2的系统通常在内部依赖HTTP/1.1,重新引入了desync攻击所依赖的所有歧义,实际上使问题更加严重。

规避脆弱防御:当前防御依赖基于正则表达式的过滤器和头部规范化,这些很容易被绕过。事实上,许多供应商只是对已知载荷进行指纹识别,给客户安全的错觉,却没有保护他们免受根本问题的影响。

前往其他测试人员无法到达之处: supposedly成熟的设置可能表现出解析不匹配,悄悄为desync利用打开大门,即使在既定测试方法未标记任何明显问题的情况下。您不能再依赖默认测试用例或浅层扫描;desync攻击需要协议级思维。这些漏洞源于基础设施级的不匹配,因此您的工具和方法需要反映这一点。

立即可以采取的措施

如果您只关注通常的应用逻辑、输入验证或认证缺陷,很可能遗漏关键威胁。Desync漏洞源于基础设施级缺陷。这就是它们能逃避扫描器和使用劣质工具进行的手动测试的原因。

无论您是在进行中的项目还是提供持续覆盖,以下行动将帮助您为客户带来尖端的desync检测,并在他人不足的领域证明价值。

不要落后于潮流

Kettle的最新白皮书清晰描绘了2025年desync攻击的演进,使您能更好评估客户的暴露程度,帮助他们领先现实世界威胁一步。需要复习?Web Security Academy有20多个免费的动手请求走私实验,旨在通过安全、真实环境中的指导实践来锐化您的技能。甚至有一个全新的实验,探索在这项研究中发现的前沿desync向量。

直接审计解析器差异

既有的请求走私检测技术常常因浅层防御而遗漏漏洞,这些防御只是阻止已知的请求走私模式。James Kettle的最新研究引入了更有效的方法。通过关注desync原语,即问题核心的解析差异,您可以规避这些薄如蝉翼的防御,检查是否真正安全。借助Burp Suite全新改进的HTTP Request Smuggler v3.0扩展,您可以自动化此方法,快速发现客户Web栈中的解析异常。您可以向客户展示其架构在可能多年未被发现的方式下的脆弱性。

增强对技术栈处理HTTP流量的可见性

请求走私检测的关键挑战之一是,当您无法看到请求在传输过程中如何被转换时,理解发生了什么。复杂的代理、CDN和应用服务器链可能掩盖关键行为。新的Burp Suite HTTP Hacker扩展让您掌控全局。它揭示隐藏的协议细节,如持久连接和流水线,使您能映射请求在技术栈中的真实流动。这就像对代理链进行X光检查,提供所需的清晰度,以发现和利用否则将保持隐藏的高影响漏洞。在向持怀疑态度的利益相关者证明业务影响时,这种透明度常常是缺失的一环。

在项目间隙提供可扩展的Desync扫描

手动大规模测试请求走私具有挑战性,特别是如果您仅限于与客户进行短暂、不频繁的合作。Burp Suite DAST通过使用James Kettle开发的最新检测技术自动扫描数千资产,帮助您扩展努力。基于相同研究支持的方法,它是唯一具有企业级真正desync检测支持的DAST解决方案,在不牺牲深度的情况下提供更广的覆盖。

倡导协议现代化

您的客户信任您的建议。以此研究为基础,推荐尽可能分阶段淘汰HTTP/1.1,特别是对于内部API或微服务架构。利用您的发现推动超越当前项目的持久变革。

不要只交付报告。交付变革。

“由于玩具般的缓解措施和选择性加固,您获得了安全的错觉,这只会打破既定的检测方法。事实上,HTTP/1.1如此密集地充满关键漏洞,您几乎可以意外发现它们。”Kettle写道。

这种错觉对您来说是机会。Desync攻击不是实现漏洞;它们是架构负债。如果您想帮助客户迈向可持续的安全状态,现在就开始对话。

使用这些工具和研究:

  • 使您的服务区别于勾选框式评估
  • 发现他人遗漏的风险,并将其转化为清晰、可行动的建议
  • 帮助客户迈向安全设计架构,而不仅仅是修补遗留技术栈

PortSwigger助您交付更多

PortSwigger不仅敲响警钟;我们还为您提供行动工具:

  • Burp Suite 提供无与伦比的desync检测和探索能力,得益于丰富的HTTP/1和HTTP/2支持、HTTP Request Smuggler和新的HTTP Stream Hacker扩展。这确保您不会受限于对测试简单应用级问题之外仅有浅层支持的劣质工具。

  • 大规模DAST:Burp Suite DAST使用可靠的原始级检测技术,识别客户资产中的请求走私向量,绕过有缺陷的防御,揭示其对desync攻击暴露的真实程度。

  • 教育为先:我们的免费实验和行业定义研究将前沿洞察转化为可行动的培训。

加入Desync终局

Burp Suite的最新工具和技术不仅提供带有预置漏洞利用的固定剧本。它们旨在帮助您精确定位desync原语:导致现实世界泄露的微妙、特定目标的解析不匹配。这意味着您可以超越已知,探索他人甚至尚未想象的新desync变体。

每个客户项目都是展示您价值的机会。超越检查清单,探索新的desync类别,向客户展示即使主要供应商也遗漏的系统性缺陷。向客户展示他们面临的风险。推荐持久变革。交付客户无法忽视的价值。

最重要的是,帮助我们宣告:HTTP/1.1必须淘汰。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次