猫头鹰
信安舆情早知道

HTTP/2协议中的四个漏洞被修复

Web服务器制造商修复针对HTTP/2协议的四个攻击向量。

web-server-makers-plug-four-security-holes-in-http-2-protocol-implementation-506949-2

数据安全公司Imperva与Web服务器制造商密切合作,修复了一年前提出的HTTP/2协议中出现的四个安全漏洞。

目前我们大多数使用HTTP 1.1协议来访问网站,HTTP/2协议去年被提出,作为HTTP 1.1协议的下一代,已经开始慢慢普及,根据W3Techs的数据显示,目前有9.1%的网站使用了HTTP/2协议。

相比HTTP 1.1协议,HTTP/2协议提高了服务器到用户端的内容传输速度。与其他协议一样,HTTP/2协议也需要将其代码添加到web服务器,以支持HTTP/2数据传输。

Slowloris DDoS六年后卷土重来

根据Imperva的研究表明,HTTP/2协议的核心代码存在四个漏洞,攻击这能够通过这四个漏洞对服务器进行DDoS。

第一个是Slow Read,2010年发现在HTTP 1.1协议中存在该攻击,同时这个攻击也延续到了下一代协议,在2010年,攻击者通过Slow Read能够从信用卡公司的服务器上窃取数据,在当时处理这个问题是相当棘手。

Imperva表示,Slow Read能够确定使用了HTTP/2协议的服务器类型,如Apache、IIS、Jetty、NGINX和nghttp等。

第二个是HPACK Bomb,攻击者通过向服务器发送隐藏了大量数据的ZIP文件,当服务器处理这些文件时,数据解压造成服务器物理内存被大量占用,导致服务器拒绝服务。

第三个是Dependency Cycle Attack,在HTTP/2协议针对这个使用了专门的流量控制机制,攻击者能够是服务器进入无限循环请求的状态。

第四个是Stream Multiplexing Abuse,在HTTP/2协议被称作流复用,会导致服务器拒绝服务。

Imperva:期待HTTP/2协议的中更多漏洞

Imperva的研究人员表示,如果网站管理员及时更新网站,那就没有必要担心上述的攻击。并且,由于HTTP/2协议还不是稳定版本,可能还会出现其它意想不到的漏洞,用户、网站管理员和开发者应当期待协议能尽快爆出更多的漏洞,以逐步完善协议,并广泛使用。

Imperva团队表示:

“新的代码总是存在这样或者那样的问题,有些可能会存在类似旧代码的问题,有些则可能因为不固定设计原则而导致缺陷。新的机制,新的代码,会导致攻击者获得更多的漏洞和攻击面。”

web-server-makers-plug-four-security-holes-in-http-2-protocol-implementation-506949-3

【文章由MottoIN编辑翻译,未经许可禁止转载】

转载请注明来自MottoIN,未经允许不得转载!MottoIN » HTTP/2协议中的四个漏洞被修复

分享到:更多 ()

评论 抢沙发

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们