HTTP/1.1 Ölmeli: Bu şirket içi pentesters için ne anlama geliyor


Andrzej Matykiewicz 06 Ağustos 2025, 22:23 UTC

Black Hat USA ve Defcon 2025’te Portswigger’ın araştırma direktörü James Kettle, keskin bir uyarı verdi: Kaçakçılığın ölmediği, gelişmesi ve gelişmesi isteği.

Yıllarca süren savunma çabalarına rağmen, Kettle tarafından açıklanan yeni araştırmalar, HTTP’nin kaçakçılık talebinin (veya “desync” saldırılarının) sadece yaygın olarak değil, aynı zamanda tehlikeli bir şekilde hafife alındığını ve dünya çapında on milyonlarca sözde iyi güvenlikli web sitesini tehlikeye attığını kanıtlıyor.

Çığır açan yeni araştırmalarında HTTP/1.1 Ölmeli: Desync Endgame, Kettle güvenlik topluluğuna kaçakçılık talep etme yaklaşımını tamamen yeniden düşünmek için zorluyor. Pratik anlamda, özellikle modern web mimarileri oluşturan birbirine bağlı sistemlerin zincirleri boyunca uygulandığında, HTTP/1.1 talepleri arasındaki sınırları tutarlı ve güvenilir bir şekilde belirlemenin neredeyse imkansız olduğunu savunuyor. Ayrıştırma tutarsızlıklarını ayrıştırma gibi hatalar kaçınılmazdır ve yukarı akış HTTP/1.1 kullanılırken, en küçük hataların bile tam site devralması da dahil olmak üzere kritik güvenlik etkisi vardır.

Bu araştırma, bireysel uygulamaların yamalamanın, talep kaçakçılığı tehdidini ortadan kaldırmak için asla yeterli olmayacağını açıkça göstermektedir. Yukarı akış HTTP/2 kullanmak sağlam bir çözüm sunar.

Modern Web’i güvence altına almak konusunda ciddiysek, HTTP/1.1’i iyi bir şekilde emekliye ayırmanın zamanı geldi.

Gömülü böcekler, kırık varsayımlar

İster vekiller, CDN’ler veya dağıtılmış arka uçlar olsun, sistemler arasındaki çatlaklarda kaçakçılık hayatını isteyin. HTTP/1.1, bu sistemlerin istek sınırları konusunda katılmaması için yollarla doludur.

Portswigger’ın son araştırması rahatsız edici bir gerçeği doğruladı: sadece kaçakçılık güvenlik açıkları hala son derece yaygın değil, onları hafifletme girişimleri aslında onları tespit etmelerini zorlaştırdı. Birçok durumda, bu hafifletmeler aslında, sistemlerin her isteğin nerede başladığını ve bittiğini nasıl belirlemesi gerektiğine daha fazla karmaşıklık ekleyerek sorunu birleştirmiştir.

Birkaç büyük CDN’nin yeni desync vektörlerine ve iyi bilinen istismarlarda ince varyasyonlara karşı savunmasız olduğu ve 24 milyondan fazla müşterisinin web sitesini ortaya çıkardığı bulundu.

Bu akademik bir risk değil; Sözde savaşla sertleştirilmiş hafifletmeleri tamamen atladıktan sonra, araştırmacılara bu tekniklerden böcek ödüllerinde 200.000 dolardan fazla para kazandı ve sorunun hem yaygınlığını hem de şiddetini vurguladı.

Yığınınız herhangi bir yerde HTTP/1.1 kullanıyorsa, incelemeye dayanmayan kırılgan savunmalara ve tehlikeli varsayımlara güveniyorsunuz.

Bu testiniz için ne anlama geliyor?

Eğer genişleyen bir web mülkünü güvence altına almaktan sorumlu şirket içi pentester iseniz, işin asla bitmediğini zaten biliyorsunuzdur. Ancak bazı tehditler çok temeldir, sadece kontrol listeniz için başka bir test örneği değil, stratejide bir değişim talep ederler.

Her zamanki uygulama mantığına, giriş doğrulaması veya kimlik doğrulama kusurlarına odaklanıyorsanız, muhtemelen yığınınızda gizlenen kritik tehditleri kaçırıyorsunuzdur. Desync böcekleri altyapı düzeyinde kusurlardan kaynaklanmaktadır. Bu yüzden Subpar takımları kullanılarak yapılan tarayıcılardan ve manuel testlerden kaçarlar.

  • Sığ Varsayımları Kırın: HTTP düşürme özellikle risklidir. HTTP/2 desteğini iddia eden sistemler genellikle HTTP/1.1’e dayanarak, Desync saldırılarının güvendiği tüm belirsizlikleri yeniden tanıtıyor ve aslında sorunu daha da kötüleştiriyor.

  • Kırılgan savunmalardan kaçın: Mevcut savunmalar, kolayca atlanabilen Regex tabanlı filtrelere ve başlık normalizasyonuna dayanmaktadır. Aslında, birçok satıcı sadece bilinen yükleri parmak izliyor ve size altta yatan soruna karşı korunmadan güvenlik yanılsaması veriyor.

  • Diğer test uzmanlarının yapamayacağı yere gidin: Sözde olgun kurulumlar, yerleşik test metodolojisinin bariz bir sorunu işaretlemediği durumlarda bile, desync sömürüsünün kapısını sessizce açan ayrıştırma uyumsuzlukları sergileyebilir. Artık varsayılan test durumlarına veya sığ taramalara güvenemezsiniz; Desync saldırıları talep protokol düzeyinde düşünme, bu nedenle takım ve metodolojinizin bunu yansıtması gerekir.

Şu anda ne yapabilirsiniz

Bir pentester olarak, kuruluşunuzun savunmalarını sürekli olarak değerlendirme ve meydan okuma ile görevlendirilirsiniz. İşte nasıl başa çıkabilirsiniz:

  • Eğrinin arkasına düşme

    James Kettle’ın en son teknik inceleme, 2025’te desync saldırılarının nasıl geliştiğine dair net bir resim sunuyor, böylece kuruluşunuzun maruziyetini daha iyi değerlendirebilir ve gerçek dünya tehditlerinin önünde kalabilirsiniz. Daha fazla desync vektör kaçınılmazdır, bu nedenle bu güvenlik açıklarının ortaya çıktığı altta yatan tehdidi anlamak çok önemlidir.

    Tazeleme’ye mi ihtiyacınız var? Web Güvenlik Akademisi, güvenli ve gerçekçi bir ortamda rehberli uygulama yoluyla becerilerinizi keskinleştirmek için tasarlanmış 20’den fazla ücretsiz, uygulamalı talep kaçakçılığı laboratuvarı vardır. Bu araştırma sırasında ortaya çıkarılan daha önce varsayımsal bir Desync vektörünü araştıran yepyeni bir laboratuvar bile var.

  • Parser tutarsızlıkları için mülkünüzü denetleyin

    İstek kaçakçılığı tespiti için yerleşik teknikler, bilinen istek kaçakçılık kalıplarını engelleyen yüzeysel savunmalar nedeniyle genellikle güvenlik açıklarını kaçırır. Portswigger’ın son araştırması çok daha etkili bir yaklaşım sunuyor. Desync ilkellerine, sorunun kalbindeki ayrıştırma tutarsızlıklarına odaklanarak, bu gofret-ince savunmalardan kaçabilir ve gerçekten güvenli olup olmadığınızı kontrol edebilirsiniz.

    Burp Suite için yeni ve geliştirilmiş HTTP isteği Kaçakçı V3.0 uzantısı ile, bu yaklaşımı web yığınınızda hızlı bir şekilde yüzeysel olarak yüzeysel olarak yüzey yapmak için otomatikleştirebilirsiniz ve size aksi takdirde tespit edilemeyebilecek potansiyel desync risklerinin daha net bir resmini verir.

  • Yığınınızın HTTP trafiğini nasıl ele aldığı konusunda tam bir görünürlük elde edin

    Talep kaçakçılığı tespitinin temel zorluklarından biri, transitte nasıl dönüştürüldüklerini göremediğinizde isteklerinize ne olduğunu anlamaktır. Proxy, CDN ve uygulama sunucularının karmaşık zincirleri kritik davranışları gizleyebilir.

    Burp Suite için yeni HTTP hacker uzantısı sizi kontrol altına alıyor. Kalıcı bağlantılar ve boru hattı gibi gizli protokol detaylarını ortaya çıkarır, böylece istiflerin gerçek akışını yığınınızdan eşleştirebilirsiniz. Proxy zinciriniz için bir röntgen gibi, aksi takdirde gizli kalacak yüksek etkili güvenlik açıklarını ortaya çıkarmak ve kullanmanız için ihtiyacınız olan netliği verir.

  • Tüm mülkünüzde desync tespiti ölçeklendirin

    Potansiyel olarak binlerce web varlığı arasında talep kaçakçılığını manuel olarak test etmek zordur, özellikle de APPSEC ekiplerine verilen sürekli büyüyen taleplere ayak uydurmak için mücadele ediyorsanız.

    Burp Suite Dast, bu kritik güvenlik açığı sınıfında önde gelen otorite olan Kettle tarafından geliştirilen en son tespit tekniklerini kullanarak binlerce varlığı otomatik olarak tarayarak çabalarınızı ölçeklendirmenize yardımcı olur.

    Aynı araştırma destekli yaklaşım üzerine inşa edilen, gerçek Desync tespiti için kurumsal sınıf desteğine sahip tek DAST çözümüdür ve derinlikten ödün vermeden daha geniş bir kapsama alanı sağlar.

  • HTTP/1.1 çıkış stratejinizi planlamaya başlayın

    Sizi bilgi ve araçlarla silahlandırmış olsak da, yığınınızda gizlenen uykuda desync vektörlerini tanımlamanız gerekir. Ancak, tek gerçek düzeltme HTTP/1.1’i tamamen ortadan kaldırmaktır. Özellikle dahili bağlantılar ve API’lar için aşamalı bir kullanımdan kaldırılmaya yol açmaya başlayın.

Sadece Yama Yapmayın: Değişiklik için itin

Oyuncak azaltma ve sadece yerleşik algılama metodolojisini kırmaya hizmet eden seçici sertleşme sayesinde güvenlik yanılsaması var. Gerçekte, HTTP/1.1, kritik güvenlik açıklarıyla çok yoğun bir şekilde paketlenir, bunları yanlışlıkla bulabilirsiniz.“Kettle yazıyor.

Sistemlerinizi korumak artık protokolün kendisinin kırıldığını kabul etmek anlamına geliyor.

Bu zihniyette bir değişim gerektirir:

  • Reaktif yamadan protokol modernizasyonuna kadar.
  • Miras savunmalarına güvenmekten ayrıştırıcı tutarlılığını doğrulamaya kadar.
  • Uygulama katmanı odağından güvenlik, mühendislik ve altyapı ekipleri arasındaki katmanlar arası koordinasyona kadar.

Portswigger’ın sırtınız var

Portswigger sadece alarmı yükseltmek değil; Sizi harekete geçirecek araçlarla silahlandırıyoruz:

Burp Suite, zengin HTTP/1 ve HTTP/2 desteği, HTTP isteği kaçakçısı ve yeni HTTP hacker uzantıları sayesinde eşsiz desync algılama ve keşif yetenekleri sunar. Bu, basit, uygulama düzeyinde sorunların ötesinde herhangi bir şeyi test etmek için yüzeysel destekle subpar takımları ile zincirlenmemenizi sağlar.

DAST Ölçekli: Burp Suite Dast, kusurlu savunmaları atlayan ve desync saldırılarına maruz kalmanızın gerçek kapsamını ortaya çıkaran güvenilir, ilkel düzey algılama teknikleri kullanarak mülkünüzdeki kaçakçılık vektörlerini tanımlar.

Eğitim ilk: Ücretsiz laboratuvarlarımız ve endüstri tanımlayan araştırmalarımız, en yeni bilgileri eyleme geçirilebilir eğitime çevirir.

Desync Endgame’e katılın

Sistemlerinizi test edin. Riski kanıtlayın. İç değişikliği sürün.

Ve her şeyden önce, beyanda bize katılın: HTTP/1.1 ölmeli.



Source link