HTTP/1.1 Ölmeli: Bu APPSEC Liderliği İçin Ne Anlama geliyor?

Black Hat USA ve Defcon 2025’te Portswigger’ın araştırma direktörü James Kettle, keskin bir uyarı verdi: Kaçakçılığın ölmediği, gelişmesi ve gelişmesi isteği.

Yıllarca süren savunma çabalarına rağmen, Kettle tarafından ortaya konan yeni araştırmalar, HTTP’nin kaçakçılık (veya “desync” saldırıları) talebinin, dünya çapında on milyonlarca sözde iyi korunmuş web sitesini tehlikeye atarak sistemik, protokol düzeyinde bir tehdit olarak kaldığını kanıtlıyor.

Çığır açan yeni araştırmalarında HTTP/1.1 Ölmeli: Desync Endgame, Kettle güvenlik topluluğuna kaçakçılık talep etme yaklaşımını tamamen yeniden düşünmek için zorluyor. Pratik anlamda, özellikle modern web mimarileri oluşturan birbirine bağlı sistemlerin zincirleri boyunca uygulandığında, HTTP/1.1 talepleri arasındaki sınırları tutarlı ve güvenilir bir şekilde belirlemenin neredeyse imkansız olduğunu savunuyor. Ayrıştırma tutarsızlıklarını ayrıştırma gibi hatalar kaçınılmazdır ve yukarı akış HTTP/1.1 kullanılırken, en küçük hataların bile tam site devralması da dahil olmak üzere kritik güvenlik etkisi vardır.

Bu araştırma, bireysel uygulamaların yamalamanın, talep kaçakçılığı tehdidini ortadan kaldırmak için asla yeterli olmayacağını açıkça göstermektedir. Yukarı akış HTTP/2 kullanmak sağlam bir çözüm sunar.

Modern Web’i güvence altına almak konusunda ciddiysek, HTTP/1.1’i iyi bir şekilde emekliye ayırmanın zamanı geldi.

Bu arada, desync güvenlik açıkları için güvenilir bir şekilde test edebilen tek DASS tarayıcısını kullanarak portföyünüzü denetleyin: Burp Suite Dast.

Kritik sonuçlarla yaygın maruz kalma

Desync saldırıları, HTTP/1.1 ayrıştırma işlemindeki belirsizlikten yararlanma oturumları, zehirli önbellekler ve kullanıcı verilerini sızdırıyor. Şimdi açık olan şey, HTTP/1.1’in temel tasarımının, yumuşak metin tabanlı mesaj ayrıştırma, çoklu uzunluk belirleme mekanizmaları ve onlarca yıllık uyumluluk tuhaflıkları ile güvenilir bir şekilde savunmayı imkansız hale getirmesidir.

Portswigger’ın 2025 araştırması, büyük CDN’ler ve WAF’ler tarafından korunanların da dahil olmak üzere sözde “yamalı” sistemlerin hala yaygın bir ölçekte savunmasız olduğunu göstermektedir. Bu akademik bir risk değil; Araştırma ekibi, bu tekniklerden sadece iki hafta boyunca 200.000 dolardan fazla böcek ödülüne layık görüldü ve birkaç büyük CDN’nin savunmasız olduğunu kanıtladı ve potansiyel olarak 24M müşterilerinin web altyapısının her birini tehlikeye attı. Bu sadece sorunun prevalansını ve şiddetini vurgulamaya hizmet eder.

APPSEC liderleri için bu stratejik bir endişe sunar: kuruluşunuz ele alındığına inansa bile, incelemeye dayanmayan kırılgan savunmalara ve tehlikeli varsayımlara güveniyor olabilirsiniz.

Rahatlık düşmandır

Yeni vektörler keşfedildikçe, yıllar boyunca mevcut savunma önlemlerini ve yamalı istek kaçakçılığı hatalarını uygulamış olabilirsiniz. Ancak saldırı sınıfı gitmedi; Sadece gelişti. Portswigger’ın son araştırması, özellikle sistemlerin HTTP/2’yi perde arkasına sessizce düşürdüğü ve potansiyel olarak sömürülebilen daha fazla karmaşıklık ve belirsizlik eklediği durumlarda, Desync güvenlik açıklarının hala son derece yaygın olduğunu ortaya koyuyor.

Anahtar çıkarımlar:

• Mimarinizin herhangi bir yerinde HTTP/1.1 kullanıyorsanız risk altında olabilirsiniz.
• Sözde olgun savunmalar genellikle yeni yüklere ve desync varyantlarına karşı herhangi bir koruma sağlayamayan Regex tabanlı sezgisel yöntemlere veya girdi sterilizasyonuna güvenir. Aslında, sadece standart algılama tekniklerini önleyerek sorunu maskelerler.
• Düşüş senaryoları özellikle tehlikelidir. Birçok sistem HTTP/2 kullanıyor gibi görünmektedir, ancak uçtan uca HTTP/2 desteği sağladığını iddia eden bazı CDN’ler de dahil olmak üzere, dahili olarak savunmasız HTTP/1.1’e güvenmektedir.

Sırada güvenlik liderleri ne yapmalı

AppSec liderleri anlamlı bir değişim sağlamak için benzersiz bir konumdadır. İşte öneriyoruz:

1. Desync maruziyeti için denetim: Eski HTTP/1.1 bağımlılıklarını bulmak için bir protokol katmanı denetimi yapın. Parser tutarsızlıklarını tanımlamak veya mülkünüzü Burp Suite Dast ile ölçekte taramak için Burp Suite’in HTTP isteği kaçakçısı ve HTTP hacker gibi araçları kullanın; En son istek kaçakçılığı tehditlerinin gerçek otomatik olarak tespitini yapabilen tek DAST tarayıcısı.
2. Tehdit modellerini gözden geçirin: Tehdit modellerinizde ve pentest checklistlerinizde açıkça kaçakçılık ve desync saldırıları ekleyin. Birçok kuruluş, derin bir anlayış eksikliği ve ağır kusurlu savunmalara karşı aşırı güven nedeniyle bu güvenlik açığı sınıfını depricat etti.
3. Takımınızı yükseltme: Pentesterlerinizi ve geliştiricilerinizi eğitim ile donatın. Portswigger’ın Web Güvenlik Akademisi, ilk olarak 2025 araştırmamızın bir parçası olarak keşfedilen pratik bir 0.Cl saldırı gösteren yeni bir tane de dahil olmak üzere ücretsiz eğitim kaynakları ve 20’den fazla talep kaçakçılığı laboratuvarı sağlar.
4. HTTP/1.1 çıkış stratejinizi planlamaya başlayın: Tek gerçek düzeltme, HTTP/1.1’i tamamen ortadan kaldırmaktır. Özellikle dahili bağlantılar ve API’lar için aşamalı bir kullanımdan kaldırılmaya yol açmaya başlayın.
5. Satıcılarınıza baskı: CDN gibi üçüncü taraf altyapısına güveniyorsanız, yukarı akış HTTP/2’yi destekleyip desteklemediklerini ve ne zaman istediklerini sorun.

Güvenlik stratejisini yeniden düşünmek

Çıkarımlar hata düzeltmelerinin ötesine geçer. Kettle’ın yazdığı gibi, “Oyuncak azaltma ve sadece yerleşik algılama metodolojisini kırmaya hizmet eden seçici sertleşme sayesinde güvenlik yanılsaması var. Gerçekte, HTTP/1.1, kritik güvenlik açıklarıyla çok yoğun bir şekilde paketlenir, bunları yanlışlıkla bulabilirsiniz.“

Sistemlerinizi korumak artık protokolün kendisinin kırıldığını kabul etmek anlamına geliyor.

Bu zihniyette bir değişim gerektirir:

• Reaktif yamadan protokol modernizasyonuna kadar.
• Miras savunmalarına güvenmekten ayrıştırıcı tutarlılığını doğrulamaya kadar.
• Uygulama katmanı odağından güvenlik, mühendislik ve altyapı ekipleri arasındaki katmanlar arası koordinasyona kadar.

Portswigger nasıl yardımcı olabilir?

Portswigger sadece alarmı yükseltmek değil; Savunucuları harekete geçirecek araçlarla silahlandırıyoruz:

• Burp Suite, zengin HTTP/1 ve HTTP/2 desteği, HTTP isteği kaçakçısı ve yeni HTTP hacker uzantıları sayesinde eşsiz desync algılama ve keşif yetenekleri sunar. Bu, uzman pentesterlerinizin basit, uygulama düzeyinde sorunların ötesinde herhangi bir şeyi test etmek için yüzeysel destekle subpar takımları ile zincirlenmemesini sağlar.
• DAST Ölçekli: Burp Suite Dast, kusurlu savunmaları atlayan ve desync saldırılarına maruz kalmanızın gerçek kapsamını ortaya çıkaran güvenilir, ilkel düzey algılama teknikleri kullanarak mülkünüzdeki kaçakçılık vektörlerini tanımlar.
• Eğitim ilk: Ücretsiz laboratuvarlarımız ve endüstri tanımlayan araştırmalarımız, en yeni bilgileri eyleme geçirilebilir eğitime çevirir.

Desync Endgame’e katılın

HTTP/1.1’in kusurlarını göz ardı etmek artık bir seçenek değil. Bir APPSEC lideri olarak, daha güvenli altyapıya geçişe yol açma fırsatına ve sorumluluğuna sahipsiniz.

Uygulamalarınızı tarayın. Riski kanıtlayın. Daha iyi altyapı talep edin.

Deklarasyonda bize katılın: HTTP/1.1 ölmeli.