HTTP/1.1必须淘汰:这对漏洞赏金猎人的重大意义

本文深入探讨HTTP/1.1协议中的请求走私漏洞,揭示其在新研究中的演变形式和对现代Web架构的威胁。文章提供了新的攻击向量、检测工具和绕过防御的策略,帮助安全研究人员发现高价值漏洞并获取丰厚赏金。

在Black Hat USA和DEFCON 2025大会上,PortSwigger研究总监James Kettle发出严厉警告:请求走私攻击并未消失,而是在不断演变和蔓延。尽管经过多年的防御努力,Kettle公布的新研究证明,HTTP请求走私(或称"desync"攻击)不仅仍然猖獗,而且被危险地低估,已危及全球数千万个据称安全防护良好的网站,在短短两周内就获得了超过20万美元的赏金。

在其开创性新研究《HTTP/1.1必须淘汰:Desync终局》中,Kettle挑战安全社区彻底重新思考应对请求走私的方法。他认为,实际上几乎不可能持续可靠地确定HTTP/1.1请求之间的边界,特别是在由互连系统链组成的现代Web架构中实施时。解析差异等错误是不可避免的,而在使用上游HTTP/1.1时,即使是最微小的漏洞也常常具有关键的安全影响,包括完整的站点接管。

这项研究明确证明,修补单个实现永远不足以消除请求走私的威胁。上游HTTP/2提供了一个强大的解决方案。如果我们认真对待保护现代Web安全,现在是时候永久淘汰HTTP/1.1了。

对于漏洞赏金猎人来说,这是一个巨大的机会。攻击面比以往任何时候都大。如果你的武器库中没有请求走私技术,现在是时候深入研究了,利用新的攻击向量、新工具和绕过当前防御的新策略。

为什么这项研究对漏洞赏金猎人重要

它仍然有利可图。 这项研究揭示了导致顶级平台大规模被入侵的关键desync漏洞,这些漏洞可能多年来一直未被发现。事实上,Kettle和研究团队在短短几周内就获得了超过20万美元的漏洞赏金。Desync攻击仍然被严重低估,特别是在CDN支持的应用程序和微服务上。

熟悉之地未开采的黄金。 你可能认为由于WAF、补丁和其他所谓的防御措施,你测试的目标不容易受到攻击。这项研究表明,通过对已知攻击进行微小调整,可以轻松绕过传统修复。通过寻找desync原语或问题的根本解析器差异,可以更可靠地检测这些细微变化,而不是直接发射漏洞利用代码来测试效果。

它给你优势。 Burp Suite新改进的工具如HTTP Request Smuggler v3.0和HTTP Hacker帮助你发现指示潜在请求走私向量的底层desync原语。了解如何使用它们让你比那些仍在发射被基于指纹的表面防御阻止的过时有效载荷的猎人具有真正优势。

它揭示隐藏漏洞。 一些最成功的漏洞来自你可能没有测试的地方:内部重定向、后端API和边缘情况行为,如Expect头的处理。教训是:你不需要巨大的攻击面,只需要正确的解析器不匹配。

可能让你获得赏金的被低估角度

应用层之外的漏洞: 这些漏洞深藏在HTTP堆栈中,位于CDN、负载均衡器和后端服务器之间。它们对大多数工具不可见,通常不被传统赏金猎人触及,特别是那些使用劣质工具、对测试基本注入漏洞之外支持有限的人。

新Desync变体: 该论文介绍了全新形式的请求走私和检测经典desync向量的新技术。通过测试问题核心的解析差异,而不是发送有效载荷,你可以发现大量可能至今未被发现的请求走私漏洞。

忘记WAF: 大多数受影响的平台都使用了边缘保护。但是当缺陷埋在协议级行为中时,基于正则表达式的防御无法解决问题。其中一个最好的发现来自一个简单的错误,该错误通过CDN缓存中毒导致了对2400万个网站的控制。

现在该做什么

深入研究白皮书: 2025年白皮书充满了可操作的有效载荷、已确认的利用路径和对实时目标有效的方法论。它是免费的,充满了其他猎人尚未掌握的想法。

访问Web Security Academy: 除了已经提供的20多个免费、交互式请求走私实验室外,我们刚刚添加了一个全新的实验室,演示Kettle在研究期间发现的一种新型desync向量。这向你展示了头部的细微调整如何导致重大漏洞。

升级工具包: 即使你使用Burp Community(或"创造性获取"的Pro许可证),也要更新你的扩展。James的HTTP Request Smuggler已经彻底改进,使用他新的、 vastly superior的原语级desync探测。

重新访问旧目标: 回到你之前排除desync的资产。使用最新技术和Burp Suite工具重新检查。你可能会对你发现的东西感到惊讶(并获得奖励!)。

加入Desync终局

HTTP/1.1已损坏,但这是你的机会:找到它。证明它。获得报酬。

新研究不仅仅是给你几个预先准备好的漏洞利用;它给了你一种方法来发现低级解析器差异和可见性不匹配,这些是数千个未发现漏洞的根源。

Burp Suite的最新工具和技术不提供固定的剧本。它们帮助你观察、探测和实验目标实际如何解析请求。这意味着你可以超越已知领域,探索其他人甚至尚未想象的新desync变体。

所以行动起来。调整工具,自定义探测,打破假设。给自己一个别人没有的优势。Desync漏洞不遵循固定模式;它们从细微的、特定于目标的怪癖中产生。凭借正确的心态和工具,你也可以发现它们,在此过程中可能获得一些丰厚的赏金。

你不需要成为全职研究人员。你不需要Black Hat徽章。你只需要好奇心、持久性和实验的意愿。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次