HTTP/1.1必须淘汰:Dafydd Stuttard谈企业安全风险与解决方案

本文深入探讨HTTP/1.1协议在企业架构中的安全风险,分析HTTP请求走私攻击的原理与危害,并介绍如何使用Burp Suite检测和防范这类协议级漏洞,为企业提供完整的安全升级方案。

在Black Hat USA 2025和DEF CON 33大会上,PortSwigger研究总监James Kettle揭示了新的HTTP异步处理技术,这些技术无疑证明了一个事实:HTTP/1.1已经失效,任何仍依赖该协议的组织都面临风险。

为了解这对企业意味着什么,我们采访了Burp Suite创始人、PortSwigger CEO兼《Web应用黑客手册》作者Dafydd Stuttard。他向安全领导者传达的信息很明确:“如果您的技术栈中存在任何HTTP/1.1跳转,请假定您已处于脆弱状态。”

为什么安全领导者仍需关注“老旧”协议缺陷?

Dafydd指出:“这些根本不是‘老旧’问题,它们仍然非常活跃。目前约半数互联网流量仍在使用HTTP/1.1。该协议本身确实陈旧,它是为不同的互联网环境设计的,没有预见到今天这种庞大、分层的基础设施。当您将CDN、代理和应用服务器串联在一起时,它们在处理请求时的细微差异就变得不可避免。”

“这一点在HTTP/1.1上尤其明显,因为它本质上是基于文本的协议。因此,每个与流量交互的系统都必须独立解析字节流,以识别不同的HTTP消息和其中编码的任何相关数据。在一个第三方服务及相关基础设施如此普遍的环境中,保持一致性处理极具挑战性。”

薄弱环节究竟在哪里?

“问题往往出现在人们意想不到的地方。浏览器与边缘节点之间的连接通常是稳固的:它经过加密,且广泛支持HTTP/2。真正的危险潜伏在上游,存在于CDN与源站、代理与应用服务器,甚至内部微服务之间的对话中。”

“如果这些跳转中任何一个仍在使用HTTP/1.1,您就会暴露在风险中。这就是为什么这不是传统意义上的‘漏洞’。这不是您可以通过打补丁就能解决的问题。这是一个架构缺陷,唯一的真正修复方法是完全淘汰HTTP/1.1。”

“令人不安的事实是,许多看似支持HTTP/2+的服务,包括主要CDN提供商,都会在内部将客户端发送的HTTP/2流量降级为HTTP/1.1。如果您的基础设施在前端Web服务器上游的任何地方降级到HTTP/1.1,您不仅重新打开了异步攻击的大门,实际上还使威胁变得更加严重。”

“这种降级通常发生在第三方基础设施内部,您甚至可能没有选择禁用的选项。为什么?因为供应商需要与仍被大量客户使用的遗留系统保持向后兼容性。James在他的研究论文中说得最好:‘采用基于云的代理时,一个被忽视的危险是,您实际上将另一家公司的技术债务纳入了自己的安全状况。’”

这对大型组织为何特别危险?

“对企业而言,挑战在于规模和复杂性。您不仅仅是运行一个Web应用程序,而是在协调整个生态系统:多个CDN、分层反向代理、服务网格、微服务、API,这些通常来自一系列不同的供应商。这种复杂性为难以发现的协议级问题提供了肥沃的土壤,这些问题通常对您的安全具有关键影响。”

“在大型组织中,一次成功的异步攻击不仅仅是劫持一个用户会话。它关乎大规模暴露——凭证泄露、数据被盗、恶意内容注入,整个平台的信任受到破坏。对攻击者来说,这是金矿。对您来说,这是系统性业务风险。”

“为了说明问题的严重性,James和他的合作者在今年的研究中,在攻陷了几家主要CDN几乎所有客户(总计约3000万个网站)后,获得了超过35万美元的漏洞赏金。这仅仅凸显了这些问题的严重性和持久性,尽管经过了多年的所谓加固。”

如果组织不采取行动,真正的业务风险是什么?

“风险在于攻击者可能获得全站权限。通过HTTP异步(又称请求走私)攻击,攻击者可以操纵服务器处理流量的方式,这会导致一系列严重后果:窃取活跃会话、拦截属于其他用户的敏感响应,或注入影响大规模用户的恶意代码。”

“这种漏洞不仅影响您的安全状况,还会影响客户信任、合规义务,并最终影响您的企业声誉。”

您认为大多数组织是否低估了这个问题?

“几乎可以肯定。尽管请求走私具有与SQL注入或跨站脚本类似的潜在影响,但历史上它并未获得同等的关注度。而且由于问题通常源于企业外部的供应商管理基础设施,领导者很容易忽视它。人们常常假设领先供应商的标准、广泛使用的技术默认是安全的。”

“但James的最新研究表明,这种假设是危险的。即使云提供商宣传支持HTTP/2,许多也会在内部悄悄降级到HTTP/1.1。这意味着漏洞可能在您认为安全的地方重新出现。”

如果HTTP/1.1在上游连接中持续存在会怎样?

“那么循环将继续:补丁、绕过和重新发现。历史表明,临时缓解措施无法解决根本缺陷。攻击者只需适应并绕过它们。只要HTTP/1.1仍在发挥作用,问题就不会消失。”

“这就是我们发起‘HTTP/1.1必须淘汰’运动的原因。这不是将请求走私视为另一个漏洞类别。而是要认识到该协议本身已不适用于现代用途,并将其移除作为战略优先事项。”

谁需要负责修复这个问题?

“这里有三方需要负责。供应商,包括云提供商和CDN,需要使在每个上游连接上禁用HTTP/1.1成为可能且简单明了。目前,有些供应商没有这样做。研究人员需要继续关注这些问题,既通过新技术,也通过让防御者能够检测它们的工具。James的白皮书提出了几个值得探索的潜在途径,他为Burp Suite开发的开源HTTP请求走私扩展为您提供了坚实的基础。”

“企业需要通过适当的扫描检查自己的环境,准确了解裂缝在哪里,并在必要时要求供应商负责填补这些裂缝。”

为什么Burp Suite特别适合检测这个问题?

“Burp的不同之处在于它实现了自己的HTTP栈。这意味着它可以在协议级别以其他工具无法做到的方式操纵请求,而这正是发现请求走私所需要的。”

“我们还使用James全新的检测方法,在Burp Suite Professional和Burp Suite DAST的手动工具和自动扫描中构建了功能,因此组织既可以探索边缘情况,也可以在其环境中运行可重复的测试。没有其他工具能够如此有效地检测请求走私漏洞(如果它们能检测的话)。”

领导者如何知道他们的供应商和合作伙伴是否真正在保护他们?

“目前唯一可靠的方法是测试。使用最新版本的Burp Suite和James的HTTP请求走私扩展运行扫描,查看您是否暴露,并使用手动工具验证发现。对于更大的资产,Burp Suite DAST具有独特的能力,可以在企业规模测试异步漏洞。”

“基于配置的保证可能随着供应商的成熟在未来变得现实,但我们还没有到达那个阶段。目前,使用最先进的工具进行持续测试是打破假设、看清现实的唯一方法。”

这样做对领导层有什么直接价值?

“清晰度。您能快速获得对最重要问题的具体答案:我们是否脆弱?在哪里?有多严重?这使您能够优先修复,向供应商升级问题,然后重新测试以确认改进。这是一个清晰的反馈循环,将这个问题从未知风险转变为可衡量的进展。”

对计划退出HTTP/1.1的CISO来说,最重要的建议是什么?

“要端到端思考。修复不是部分的——它必须是普遍性的。您基础设施中的每个端点、每个跳转、每个层都需要超越HTTP/1.1。”

“并且要认识到,您当前的大部分应用安全工具——SAST、SCA、传统DAST——甚至没有找对地方。这是一个传输层缺陷。您需要能够在该层级进行探测的工具和流程,并且需要组织的意愿来确保HTTP/1.1在您的资产中真正被淘汰。”

安全领导者现在应该做什么

  • 映射现实情况:清点每个上游连接——CDN到源站、代理到应用、服务到服务——并识别HTTP/1.1仍在使用的地方。
  • 制定无HTTP/1.1政策:要求 everywhere 使用HTTP/2或更高版本,并要求供应商负责提供支持。
  • 像攻击者一样测试:使用Burp Suite扫描您的应用程序并在协议级别验证暴露情况。
  • 使用Burp Suite DAST大规模扫描您的资产组合,并在Burp Suite Professional中验证结果。
  • 制度化:将检查纳入架构审查、上线流程和供应商评估,防止HTTP/1.1悄然回归。

结束语

正如Dafydd所说:“这不是另一个您可以打补丁的漏洞。这是一个需要刻意消除的架构缺陷。如果您的技术栈中仍有HTTP/1.1,请假定您已暴露。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次