在Black Hat USA和DEFCON 2025大会上,PortSwigger研究总监James Kettle发出严厉警告:请求走私攻击并未消亡,而是在不断演变和蔓延。尽管经过多年的防御努力,Kettle公布的新研究证明,HTTP请求走私(或"desync"攻击)不仅仍然猖獗,而且被危险地低估,已危及全球数千万个本应安全防护的网站。
在其开创性新研究《HTTP/1.1必须淘汰:Desync终局》中,Kettle要求安全社区彻底重新思考应对请求走私的方法。他认为,实际上几乎不可能持续可靠地确定HTTP/1.1请求之间的边界,特别是在由互连系统链组成的现代Web架构中实施时。解析差异等错误是不可避免的,而在使用上游HTTP/1.1时,即使是最微小的错误也常常产生关键的安全影响,包括完整的站点接管。
这项研究明确表明,修补单个实现永远不足以消除请求走私的威胁。使用上游HTTP/2提供了一个强大的解决方案。如果我们认真对待保护现代Web安全,那么是时候永久淘汰HTTP/1.1了。
隐藏的漏洞,破碎的假设
请求走私存在于系统之间的缝隙中,无论是代理、CDN还是分布式后端。HTTP/1.1充满了让这些系统对请求边界产生分歧的方式。PortSwigger的最新研究证实了一个令人不安的真相:不仅请求走私漏洞仍然极为普遍,而且试图缓解这些漏洞的措施实际上只是让它们更难被发现。在许多情况下,这些缓解措施实际上通过增加系统确定每个请求开始和结束位置的复杂性而使问题更加严重。
研究发现几个主要CDN容易受到新的desync向量和已知漏洞的微妙变体的攻击,暴露了超过2400万个客户网站。这不是学术风险;研究人员在完全绕过据称经过实战考验的缓解措施后,通过这些技术获得了超过20万美元的漏洞赏金,突显了该问题的普遍性和严重性。
如果你的技术栈在任何地方使用HTTP/1.1,你就是依赖于脆弱的防御和危险假设,这些假设根本经不起推敲。
这对你的测试意味着什么
如果你是负责保护庞大Web资产的内部渗透测试员,你已经知道这项工作永无止境。但有些威胁如此基础,它们需要战略转变,而不仅仅是在检查清单中添加另一个测试用例。
如果你专注于常见的应用程序逻辑、输入验证或身份验证缺陷,你可能错过了技术栈中潜伏的关键威胁。Desync漏洞源于基础设施级别的缺陷。这就是为什么它们能够逃避扫描器和使用劣质工具进行的手动测试。
打破浅层假设:HTTP降级尤其危险。声称支持HTTP/2的系统通常在内部依赖HTTP/1.1,重新引入了desync攻击所依赖的所有歧义,实际上使问题更加严重。
规避脆弱防御:当前防御依赖于基于正则表达式的过滤器和头部规范化,这些可以轻松绕过。事实上,许多供应商只是对已知payload进行指纹识别,给你安全错觉,而没有保护他们免受根本问题的影响。
前往其他测试员无法到达的地方:据称成熟的设置可能表现出解析不匹配,悄悄为desync利用打开大门,即使在既定测试方法未标记任何明显问题的情况下也是如此。你不能再依赖默认测试用例或浅层扫描;desync攻击需要协议级思维,因此你的工具和方法需要反映这一点。
你现在可以做什么
作为渗透测试员,你的任务是持续评估和挑战组织的防御。以下是你可以主导的方法:
不要落后于潮流:James Kettle的最新白皮书清晰地描绘了2025年desync攻击如何演变,因此你可以更好地评估组织的暴露情况并领先于现实世界威胁。更多desync向量是不可避免的,因此理解这些漏洞产生的根本威胁至关重要。需要复习?Web Security Academy有20多个免费的动手请求走私实验室,旨在通过安全现实环境中的指导实践来提升你的技能。甚至有一个全新的实验室,探索了在这项研究中发现的先前假设的desync向量。
审计你的资产以查找解析器差异:由于仅阻止已知请求走私模式的表面防御,既有的请求走私检测技术经常错过漏洞。PortSwigger的最新研究引入了更有效的方法。通过专注于desync原语,即问题核心的解析差异,你可以规避这些薄如蝉翼的防御,并检查你是否真的安全。借助Burp Suite全新改进的HTTP Request Smuggler v3.0扩展,你可以自动化这种方法,快速发现Web技术栈中的解析异常,让你更清楚地了解可能未被发现的潜在desync风险。
全面了解你的技术栈如何处理HTTP流量:请求走私检测的关键挑战之一是,当你无法看到请求在传输过程中如何被转换时,理解你的请求发生了什么。复杂的代理、CDN和应用程序服务器链可能掩盖关键行为。Burp Suite的新HTTP Hacker扩展让你掌控一切。它揭示了隐藏的协议细节,如持久连接和流水线,因此你可以映射通过技术栈的请求真实流。它就像你的代理链的X射线,给你所需的清晰度,以发现和利用否则将保持隐藏的高影响漏洞。
在整个资产范围内扩展Desync检测:手动测试可能数千个Web资产的请求走私具有挑战性,特别是如果你已经在努力跟上AppSec团队不断增长的需求。Burp Suite DAST通过使用Kettle开发的最新检测技术自动扫描数千个资产,帮助你扩展工作规模,Kettle无疑是这一关键漏洞类别的领先权威。基于相同研究支持的方法构建,它是唯一具有企业级真正desync检测支持的DAST解决方案,让你在不牺牲深度的情况下获得更广泛的覆盖范围。
开始规划你的HTTP/1.1退出策略:尽管我们已经为你提供了识别技术栈中潜伏的休眠desync向量所需的知识和工具。然而,唯一真正的修复是彻底消除HTTP/1.1。开始规划分阶段弃用,特别是针对内部连接和API。
不要只是修补:推动变革
“由于玩具缓解措施和选择性强化,你有了安全错觉,这些措施只服务于打破既定的检测方法。实际上,HTTP/1.1如此密集地充满了关键漏洞,你甚至可以意外地找到它们。“Kettle写道。
现在保护你的系统意味着承认协议本身已损坏。这需要思维转变:
从被动修补到协议现代化。从信任遗留防御到验证解析器一致性。从应用层焦点到安全、工程和基础设施团队之间的跨层协调。
PortSwigger支持你
PortSwigger不仅仅是拉响警报;我们正在为你提供行动的工具:
Burp Suite提供无与伦比的desync检测和探索能力,得益于丰富的HTTP/1和HTTP/2支持、HTTP Request Smuggler和新的HTTP Hacker扩展。这确保你不会被劣质工具束缚,这些工具对测试超越简单应用层问题的支持肤浅。
大规模DAST:Burp Suite DAST使用可靠的原始级别检测技术识别整个资产中的请求走私向量,这些技术绕过有缺陷的防御,揭示你对desync攻击暴露的真实程度。
教育优先:我们的免费实验室和行业定义的研究将前沿见解转化为可操作的培训。
加入Desync终局
测试你的系统。证明风险。推动内部变革。
最重要的是,加入我们宣布:HTTP/1.1必须淘汰。