Güvenlik araştırmacıları, HTTP/1.1’de, saldırganların milyonlarca web sitesini kaçırmasına izin verebilecek ve devam eden hafifletme çabalarına rağmen altı yılı aşkın bir süredir Web altyapısını rahatsız eden kalıcı bir tehdidi vurgulayabilecek temel bir güvenlik açığını açıkladı.
Portswigger’ın son araştırması, HTTP/1.1’in doğal olarak güvensiz kaldığını ve milyonlarca web sitesini gelişmiş HTTP Desync saldırıları yoluyla düşmanca devralmaya maruz bıraktığını ortaya koyuyor.
Siber güvenlik firması, bu saldırıların çeşitli yeni sınıflarını tanıttı ve birden fazla içerik dağıtım ağı (CDN’ler) içinde çekirdek altyapıyı altüst ederek on milyonlarca web sitesini tehlikeye atan kritik güvenlik açıklarını gösterdi.
Son altı yılda çeşitli hafifletmeler uygulayan satıcılara rağmen, araştırmacılar bu koruyucu önlemleri sürekli olarak atladılar.
Tehdit ilk olarak Portswigger’ın 2019’da açıkladığı zaman ön plana çıktı, ancak güvenlik açığının temel nedenini ele almada çok az şey değişti.
Sorunun teknik kökü
Temel sorun, HTTP/1.1’in ölümcül tasarım kusurundan kaynaklanıyor: Protokol, saldırganların bir isteğin nerede bittiği ve bir sonraki talebin başladığı konusunda aşırı belirsizlik yaratmasına izin veriyor.
Bu belirsizlik, kötü niyetli aktörlerin istek sınırlarını manipüle etmelerini sağlar ve tüm web uygulamalarını ve altta yatan altyapılarını tehlikeye atabilecek kaçakçılık saldırıları talep eder.
Bu saldırılar, çeşitli sunucuların ve proxy sistemlerinin HTTP isteklerini nasıl yorumladığı ve saldırganların arka uç sunucularında zararlı işlemler yaparken güvenlik sistemleri için meşru görünen kötü niyetli istekleri enjekte etmesine izin verdiği farklılıklarından yararlanır.
HTTP/2 ve sonraki sürümler bu temel belirsizliği ortadan kaldırarak desync saldırılarını neredeyse imkansız hale getirir. Bununla birlikte, güvenlik uzmanları, sadece kenar sunucularında HTTP/2’nin sağlanmasının yetersiz olduğunu vurgulamaktadır.
Kritik gereksinim, HTTP/1.1’e sürekli bağımlı olması nedeniyle birçok güvenlik açıkının devam ettiği ters vekiller ve orijin sunucuları arasındaki yukarı akış bağlantıları için HTTP/2’yi uygulamaktır.
Portswigger, organizasyonları savunmasız protokolden uzaklaşmaya çağıran “HTTP/1.1 Must Dials: The Desync Endgame” başlıklı kapsamlı bir girişim başlattı.
Araştırma, yukarı akış HTTP/2 desteğini etkinleştirmek ve orijin sunucularının daha yeni protokolü işleyebilmesini sağlamak da dahil olmak üzere hemen uygulama için pratik öneriler içermektedir.
HTTP/1.1’e hala bağımlı olan kuruluşlar için, araştırmacılar ön uç sistemlerde mevcut istek doğrulama ve normalleştirme özelliklerini uygulamayı, yukarı akış bağlantısının yeniden kullanımını devre dışı bırakmayı ve HTTP/2 destek zaman çizelgeleri hakkında satıcılarla aktif olarak etkileşime girmeyi önermektedir.
Siber güvenlik topluluğu, kuruluşların yinelenen güvenlik taramaları yoluyla bu tehditleri belirlemelerine ve savunmasına yardımcı olmak için HTTP Request Smuggler V3.0 ve HTTP Hacker gibi açık kaynaklı araçlar geliştirdi.
Bu güvenlik açığı, bireysel web sitelerinden büyük CDN sağlayıcılarına kadar geniş bir web altyapısı yelpazesini etkiler ve web güvenliğini sağlamak için modern HTTP protokollerinin endüstri çapında benimsenmesi için acil ihtiyacı vurgulamaktadır.
The Ultimate SOC-as-a-Service Pricing Guide for 2025
– Ücretsiz indir