HTTP/1.1 Ölmeli: Bu böcek ödül avcıları için ne anlama geliyor

Black Hat USA ve Defcon 2025’te Portswigger’ın araştırma direktörü James Kettle, keskin bir uyarı verdi: Kaçakçılığın ölmediği, gelişmesi ve gelişmesi isteği.

Yıllarca süren savunma çabalarına rağmen, Kettle tarafından ortaya konan yeni araştırmalar, HTTP’nin kaçakçılık talebinin (veya “desync” saldırılarının) sadece yaygın olarak değil, aynı zamanda tehlikeli bir şekilde hafife alındığını, dünya çapında on milyonlarca iyi güvenlikli web sitesini tehlikeye attığını ve sadece iki haftalık alanda demetlerde netleştirdiğini kanıtlıyor.

Çığır açan yeni araştırmalarında HTTP/1.1 Ölmeli: Desync Endgame, Kettle güvenlik topluluğuna kaçakçılık talep etme yaklaşımını tamamen yeniden düşünmek için zorluyor. Pratik anlamda, özellikle modern web mimarileri oluşturan birbirine bağlı sistemlerin zincirleri boyunca uygulandığında, HTTP/1.1 talepleri arasındaki sınırları tutarlı ve güvenilir bir şekilde belirlemenin neredeyse imkansız olduğunu savunuyor. Ayrıştırma tutarsızlıklarını ayrıştırma gibi hatalar kaçınılmazdır ve yukarı akış HTTP/1.1 kullanılırken, en küçük hataların bile tam site devralması da dahil olmak üzere kritik güvenlik etkisi vardır.

Bu araştırma, bireysel uygulamaların yamalamanın, talep kaçakçılığı tehdidini ortadan kaldırmak için asla yeterli olmayacağını açıkça göstermektedir. Yukarı Akım HTTP/2 sağlam bir çözüm sunar.

Modern Web’i güvence altına almak konusunda ciddiysek, HTTP/1.1’i iyi bir şekilde emekliye ayırmanın zamanı geldi.

Bir böcek ödül avcısı olarak, bu büyük bir fırsat. Saldırı yüzeyi her zamankinden daha büyük. Arsenalinizde kaçakçılık talep etmiyorsanız, şimdi yeni vektörler, yeni araçlar ve mevcut savunmaları atlayan yeni stratejilerle dalış zamanı.

Bu araştırma neden ödül avcılarını rahatsız etmek için önemlidir?

• Hala öder. Büyük zaman.

  Bu araştırma, yıllarca tespit edilmemiş en üst düzey platformların kitlesel uzlaşmasına yol açan kritik desync kusurlarını ortaya koymaktadır. Aslında, Kettle ve araştırmanın arkasındaki ekip, sadece birkaç hafta boyunca böcek ödüllerinde 200 bin doların üzerinde netleşti. Desync saldırıları, özellikle CDN destekli uygulamalarda ve mikro hizmetlerde hala büyük ölçüde azaltılmıştır. Kalabalığın geri kalanı XSS için püskürtülürken veya bir idor çanta yapmayı umarken, yüksek etkili, yüksek ödüllü istek kaçakçılığı vulns’i geliştirebilirsiniz.

• Tanıdık yerlerde olmayan altın.

  Test ettiğiniz hedeflerin WAF’ler, yamalar ve diğer sözde savunmalar nedeniyle savunmasız olmadığını düşünebilirsiniz. Bu araştırma, bilinen saldırılara küçük değişiklikler yaparak geleneksel düzeltmelerin kolayca atlanabileceğini göstermektedir. Bu ince varyasyonlar, desync ilkelleri veya sorunun kökeninde altta yatan ayrıştırıcı tutarsızlıkları arayarak, doğrudan ateş eden istismarlara atlamak yerine çok daha güvenilir bir şekilde tespit edilebilir. Bu, eski hedeflerinizin kritik güvenlik açıkları için verimli bir av alanı haline geldiği anlamına gelir.

• Size bir avantaj sağlar.

  Burp Suite’in HTTP İsteği Kaçakçısı V3.0 ve HTTP hacker gibi yeni ve geliştirilmiş araçları, potansiyel istek kaçakçılığı vektörlerini gösteren temel desync ilkellerini yüzeyine yardımcı olur. Onları nasıl kullanacağınızı anlamak, yüzeysel, parmak izi tabanlı savunmalarla engellenen modası geçmiş yükleri patlatan avcılara göre size gerçek bir avantaj sağlar.

• Gizli güvenlik açıklarını ortaya çıkarır.

  En başarılı hatalardan bazıları test yapamayacağınız yerlerden geldi: dahili yönlendirmeler, arka uç API’leri ve elleçleme gibi kenar vaka davranışları Expect başlıklar. Ders? Büyük bir saldırı yüzeyine ihtiyacınız yok, sadece doğru ayrıştırıcı uyuşmazlığı.

Sizi netleştirebilecek hafife alınmış açılar

• Uygulama katmanının ötesinde güvenlik açıkları: Bu hatalar HTTP yığınında, CDN’ler, yük dengeleyicileri ve arka uç sunucuları arasında derinlemesine yaşar. Çoğu araç için görünmezdirler ve genellikle geleneksel ödül avcıları tarafından, özellikle temel enjeksiyon kusurlarının ötesinde test için sınırlı destekle subpar takımları kullananlar tarafından dokunulmazlar.

• Yeni Desync varyantları: Makale, klasik desync vektörlerini tespit etmek için yepyeni istek kaçakçılığı ve yeni teknikler sunuyor. Sorunun kalbindeki ayrıştırma tutarsızlıklarını test ederek, yük göndermek yerine, şimdiye kadar tespit edilmemiş kalmış olabilecek hata kaçakçılığı talep alanlarını bulabilirsiniz.

• WAF’ları unutun: Etkilenen platformların çoğu Edge korumaları kullandı. Ancak Regex tabanlı savunmalar, kusur protokol düzeyinde davranışlara gömüldüğünde onu kesmez. En iyi bulgulardan biri, bir CDN önbellek zehirlenmesi yoluyla 24 milyon web sitesi üzerinde kontrole dönüşen basit bir hatadan geldi.

Şimdi ne yapmalı

• Teknik incelemeye dalın

  2025 teknik inceleme, eyleme geçirilebilir yükler, onaylanmış istismar yolları ve canlı hedeflere karşı çalışan metodoloji ile doludur. Ücretsiz ve diğer avcıların henüz yakalamadığı fikirlerle dolu.

• Web Güvenlik Akademisi’ne hit

  Zaten mevcut olan 20+ ücretsiz, etkileşimli istek kaçakçılığı laboratuvarlarına ek olarak, araştırması sırasında Kettle tarafından keşfedilen yeni Desync vektörlerinden birini gösteren yepyeni bir tane ekledik. Bu, başlıklara yönelik ince ince ayarların büyük hatalara nasıl yol açtığını gösterir. Bu sadece teori değil; Aynı teknikleri gerçek ödül hedeflerinde kullanabilirsiniz, potansiyel olarak büyük ödemeler sağlar.

• Araç Setinizi Yükselt

  Burp topluluğu kullanıyor olsanız bile (veya “yaratıcı kaynaklı” profesyonel lisans) uzantılarınızı güncelleyin. James’in HTTP isteği kaçakçısı, yeni ve çok üstün ilkel seviyeli desync problarını kullanmak için elden geçirildi.

• Eski hedefleri tekrar ziyaret edin

  Desyncs’i dışladığınız varlıklara geri dönün. Tekrar kontrol etmek için en son teknikleri ve geğirme süit araçlarını kullanın. Bulduğunuz şeyle şaşırabilir (ve ödüllendirilebilirsiniz!).

Desync Endgame’e katılın

HTTP/1.1 kırıldı, ama bu sizin fırsatınız: bul. Kanıtlayın. Ödeme al.

Yeni araştırma size sadece birkaç ön kalmış istismar vermekle kalmıyor; Binlerce keşfedilmemiş hatanın kökünde oturan düşük seviyeli ayrıştırıcı tutarsızlıklarını ve görünürlük uyumsuzluklarını ortaya çıkarmanın bir yolunu sunar.

Burp Suite’in en son araç ve teknikleri sabit bir oyun kitabı sağlamaz. Hedeflerin istekleri nasıl ayrıştırdığını gözlemlemenize, araştırmanıza ve denemenize yardımcı olurlar. Bu, bilinenlerin ötesine geçebileceğiniz ve başkalarının henüz hayal etmediği yeni Desync varyantlarını keşfedebileceğiniz anlamına gelir.

Öyleyse dışarı çık. Araçları değiştirin, problarınızı özelleştirin ve varsayımları kırın. Kendinize kimsenin sahip olmadığı bir avantaj verin. Desync hataları sabit bir deseni takip etmez; ince, hedefe özgü tuhaflıklardan ortaya çıkarlar. Ve doğru zihniyet ve takımlarla, bunları da keşfedebilirsiniz, potansiyel olarak süreçte bazı ciddi ödülleri toplarsınız.

Tam zamanlı bir araştırmacı olmanıza gerek yok. Siyah şapka rozetine ihtiyacınız yok. Sadece merak, sebat ve deneme isteğine ihtiyacınız var.