HTTP/1.1必须淘汰:这对应用安全领导层意味着什么

本文探讨了HTTP/1.1协议在设计层面的根本性安全缺陷,详细分析了请求走私攻击的演变和危害,并为企业安全领导者提供了从协议审计到迁移规划的具体应对策略。文章基于PortSwigger在2025年的最新研究成果,揭示了即使经过修补的系统仍面临大规模风险。

在Black Hat USA和DEFCON 2025大会上,PortSwigger研究总监James Kettle发出了严厉警告:请求走私攻击并未消失,而是在不断演变和蔓延。尽管经过多年的防御努力,Kettle公布的新研究证明,HTTP请求走私(或称"desync"攻击)仍然是一种系统性的协议级威胁,已危及全球数千万个本应安全无虞的网站。

在其开创性新研究《HTTP/1.1必须淘汰:Desync终局》中,Kettle呼吁安全社区彻底重新思考应对请求走私的方法。他指出,在实际应用中,几乎不可能持续可靠地确定HTTP/1.1请求之间的边界,特别是在现代Web架构中相互连接的系统链中实施时。解析差异等错误不可避免,而在使用上游HTTP/1.1时,即使是最微小的漏洞也常常产生关键的安全影响,包括完整的站点接管。

这项研究明确证明,修补单个实现永远不足以消除请求走私的威胁。使用上游HTTP/2提供了强大的解决方案。如果我们认真对待保护现代Web安全,现在是时候永久淘汰HTTP/1.1了。

与此同时,请使用唯一能够可靠测试desync漏洞的DAST扫描器来审计您的资产组合:Burp Suite DAST。

广泛暴露与严重后果

Desync攻击利用HTTP/1.1解析中的模糊性来劫持会话、污染缓存和泄露用户数据。现在很清楚的是,HTTP/1.1的核心设计——包括其宽松的基于文本的消息解析、多个长度指定机制和数十年历史的兼容性怪癖——使其无法可靠防御。

PortSwigger的2025年研究展示了所谓的"已修补"系统(包括受主要CDN和WAF保护的系统)如何仍然在大规模范围内易受攻击。这不是学术风险;研究团队在短短两周内通过这些技术获得了超过20万美元的漏洞赏金,证明几个主要CDN都存在漏洞,可能危及它们所有2400万客户的Web基础设施。这仅仅突显了该问题的普遍性和严重性。

对于应用安全领导者来说,这提出了一个战略关切:即使您的组织认为已得到保护,您可能仍依赖于脆弱的防御和危险的假设,这些假设根本经不起推敲。

自满是敌人

您可能已经实施了可用的防御措施,并在发现新向量时修补了请求走私漏洞。但这类攻击并未消失;它只是在不断演变。PortSwigger的最新研究显示,desync漏洞仍然极为普遍,特别是在系统在后台悄悄将HTTP/2降级为HTTP/1.1的情况下,增加了更多可能被利用的复杂性和模糊性。

关键要点:如果您在架构的任何地方使用HTTP/1.1,您可能面临风险。所谓的成熟防御通常依赖于基于正则表达式的启发式方法或输入清理,这些方法无法针对新载荷和desync变体提供任何保护。实际上,它们只是通过阻止标准检测技术来掩盖问题。降级场景尤其危险。许多系统似乎使用HTTP/2,但内部秘密依赖易受攻击的HTTP/1.1,包括一些声称提供端到端HTTP/2支持的CDN。

安全领导者下一步应该做什么

应用安全领导者处于推动有意义变革的独特位置。以下是我们推荐的步骤:

  • 审计desync暴露:进行协议层审计以定位遗留的HTTP/1.1依赖项。使用Burp Suite的HTTP Request Smuggler和HTTP Hacker等工具来识别解析器差异,或使用Burp Suite DAST大规模扫描您的资产;这是唯一能够真正自动检测最新请求走私威胁的DAST扫描器。

  • 修订威胁模型:在您的威胁模型和渗透测试清单中明确包含请求走私和desync攻击。许多组织由于缺乏深入理解和过度依赖严重缺陷的防御而降低了此类漏洞的优先级。

  • 提升团队技能:为您的渗透测试人员和开发人员提供培训。PortSwigger的Web Security Academy提供免费教育资源和超过20个请求走私实验室,包括一个新的演示实际0.CL攻击的实验室,这是我们2025年研究首次发现的。

  • 开始规划HTTP/1.1退出策略:唯一的真正修复是彻底消除HTTP/1.1。开始规划分阶段弃用路线图,特别是针对内部连接和API。

  • 向供应商施压:如果您依赖第三方基础设施,如CDN,询问它们是否支持上游HTTP/2,如果不支持,何时支持。

重新思考安全策略

影响超越漏洞修复。正如Kettle所写:“您拥有安全感的幻觉,这要归功于玩具般的缓解措施和选择性强化,这些措施只会破坏已建立的检测方法。实际上,HTTP/1.1密集充斥着关键漏洞,您甚至可能意外发现它们。”

保护您的系统现在意味着承认协议本身已损坏。

这需要思维方式的转变:

  • 从反应性修补转向协议现代化
  • 从信任遗留防御转向验证解析器一致性
  • 从应用层焦点转向安全、工程和基础设施团队之间的跨层协调

PortSwigger如何提供帮助

PortSwigger不仅仅是发出警报;我们正在为防御者提供行动工具:

  • Burp Suite提供无与伦比的desync检测和探索能力,这得益于丰富的HTTP/1和HTTP/2支持、HTTP Request Smuggler和新的HTTP Hacker扩展。这确保您的专家渗透测试人员不会受到劣质工具的限制,这些工具对测试简单应用级问题之外的问题只有肤浅的支持。

  • 大规模DAST:Burp Suite DAST使用可靠的原始级检测技术识别您资产中的请求走私向量,这些技术绕过有缺陷的防御并揭示您对desync攻击暴露的真实程度。

  • 教育优先:我们的免费实验室和行业定义的研究将前沿见解转化为可操作的培训。

加入Desync终局

忽视HTTP/1.1的缺陷不再是可选项。作为应用安全领导者,您有机会也有责任领导向更安全基础设施的过渡。

扫描您的应用程序。证明风险。要求更好的基础设施。

加入我们共同声明:HTTP/1.1必须淘汰。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次