HTTP/1.1 Ölmeli: Bu Sözleşme Pentesters ve MSSP’ler için ne anlama geliyor

Black Hat USA ve Defcon 2025’te Portswigger’ın araştırma direktörü James Kettle, keskin bir uyarı verdi: Kaçakçılığın ölmediği, gelişmesi ve gelişmesi isteği.

Yıllarca süren savunma çabalarına rağmen, Kettle tarafından açıklanan yeni araştırmalar, HTTP’nin kaçakçılık talebinin (veya “desync” saldırılarının) sadece yaygın olarak değil, aynı zamanda tehlikeli bir şekilde hafife alındığını ve dünya çapında on milyonlarca sözde iyi güvenlikli web sitesini tehlikeye attığını kanıtlıyor.

Çığır açan yeni araştırmalarında HTTP/1.1 Ölmeli: Desync Endgame, Kettle güvenlik topluluğuna kaçakçılık talep etme yaklaşımını tamamen yeniden düşünmek için zorluyor. Pratik anlamda, özellikle modern web mimarileri oluşturan birbirine bağlı sistemlerin zincirleri boyunca uygulandığında, HTTP/1.1 talepleri arasındaki sınırları tutarlı ve güvenilir bir şekilde belirlemenin neredeyse imkansız olduğunu savunuyor. Ayrıştırma tutarsızlıklarını ayrıştırma gibi hatalar kaçınılmazdır ve yukarı akış HTTP/1.1 kullanılırken, en küçük hataların bile tam site devralması da dahil olmak üzere kritik güvenlik etkisi vardır.

Bu araştırma, bireysel uygulamaların yamalamanın, talep kaçakçılığı tehdidini ortadan kaldırmak için asla yeterli olmayacağını açıkça göstermektedir. Yukarı akış HTTP/2 kullanmak sağlam bir çözüm sunar. Modern Web’i güvence altına almak konusunda ciddiysek, HTTP/1.1’i iyi bir şekilde emekliye ayırmanın zamanı geldi.

MSSP’ler ve sözleşme çatı katları için bu, hem kritik bir hizmet boşluğunu hem de rekabetinizin kaçırdığı yüksek değerli bulgular sunmak için eşsiz bir fırsatı temsil eder.

Müşteri ortamlarında gömülü risk

İster vekiller, CDN’ler veya dağıtılmış arka uçlar olsun, sistemler arasındaki çatlaklarda kaçakçılık hayatını isteyin. HTTP/1.1, bu sistemlerin istek sınırları konusunda katılmaması için yollarla doludur.

Portswigger’ın son araştırması rahatsız edici bir gerçeği doğruladı: sadece kaçakçılık güvenlik açıkları hala son derece yaygın değil, onları hafifletme girişimleri aslında onları tespit etmelerini zorlaştırdı. Birçok durumda, bu hafifletmeler aslında, sistemlerin her isteğin nerede başladığını ve bittiğini nasıl belirlemesi gerektiğine daha fazla karmaşıklık ekleyerek sorunu birleştirmiştir.

Birkaç büyük CDN’nin yeni desync vektörlerine ve iyi bilinen istismarlarda ince varyasyonlara karşı savunmasız olduğu ve 24 milyondan fazla müşterisinin web sitesini ortaya çıkardığı bulundu.

Bu akademik bir risk değil; Sözde savaşla sertleştirilmiş hafifletmeleri tamamen atladıktan sonra, araştırmacılara bu tekniklerden böcek ödüllerinde 200.000 dolardan fazla para kazandı ve sorunun hem yaygınlığını hem de şiddetini vurguladı. Sonuçlara dayalı bir MSSP modelinde çalışıyorsanız, bu da aciliyetin yanı sıra fırsatı belirtmelidir.

Sonuç olarak, bu hatalar bulmak zor değil; Mevcut savunma mekanizmaları tarafından aktif olarak gizlenirler. Bu, harici bir test cihazı olarak, dahili ekipler, tarayıcılar ve diğer üçüncü taraf yükleniciler tarafından kaçırılan sorunları ortaya çıkararak gerçek değer göstermenizi sağlar.

Bu nişanlarınız için ne anlama geliyor?

Müşterileriniz, baskı altında anlamlı, derin ve etkili sonuçlar sunmak için size güvenir. Desync sorunları, sadece protokol düzeyinde muayene yoluyla tespit edilebilir oldukları, müşterilerinizin yığınlarında yıllarca gizli kaldıkları ve somut, yüksek şiddetli bir etkiye sahip oldukları için mükemmel bir bölgedir.

Bu araştırmayı kendi yararınıza nasıl kullanabilirsiniz:

• Sığ Varsayımları Kırın: HTTP düşürme özellikle risklidir. HTTP/2 desteğini iddia eden sistemler genellikle HTTP/1.1’e dayanarak, Desync saldırılarının güvendiği tüm belirsizlikleri yeniden tanıtıyor ve aslında sorunu daha da kötüleştiriyor.
• Kırılgan savunmalardan kaçın: Mevcut savunmalar, kolayca atlanabilen Regex tabanlı filtrelere ve başlık normalizasyonuna dayanmaktadır. Aslında, birçok satıcı sadece bilinen yükleri parmak izleyerek müşterilerinize altta yatan soruna karşı korumadan güvenlik yanılsaması verir.
• Diğer test uzmanlarının yapamayacağı yere gidin: Sözde olgun kurulumlar, yerleşik test metodolojisinin bariz bir sorunu işaretlemediği durumlarda bile, desync sömürüsünün kapısını sessizce açan ayrıştırma uyumsuzlukları sergileyebilir. Artık varsayılan test durumlarına veya sığ taramalara güvenemezsiniz; Desync saldırıları talep protokol düzeyinde düşünceye. Bu hatalar altyapı düzeyinde uyumsuzluklardan kaynaklanır, bu nedenle takım ve metodolojinizin bunu yansıtması gerekir.

Şu anda ne yapabilirsiniz

Tamamen olağan uygulama mantığına, giriş doğrulaması veya kimlik doğrulama kusurlarına odaklanıyorsanız, muhtemelen kritik tehditleri kaçırıyorsunuzdur. Desync böcekleri altyapı düzeyinde kusurlardan kaynaklanmaktadır. Bu yüzden Subpar takımları kullanılarak yapılan tarayıcılardan ve manuel testlerden kaçarlar.

İster katılımla olsun isterse sürekli kapsam sunuyor olun, bu eylemler müşterilerinize en yeni desync tespiti getirmenize ve başkalarının yetersiz kaldığı yerde değeri kanıtlamanıza yardımcı olacaktır.

• Eğrinin arkasına düşme

  Kettle’ın en son teknik inceleme, 2025’te desync saldırılarının nasıl geliştiğine dair net bir resim sunuyor, böylece müşterilerinizin maruziyetini daha iyi değerlendirebilir ve gerçek dünya tehditlerinden bir adım önde kalmalarına yardımcı olabilirsiniz.

  Tazeleme’ye mi ihtiyacınız var? Web Güvenlik Akademisi, güvenli ve gerçekçi bir ortamda rehberli uygulama yoluyla becerilerinizi keskinleştirmek için tasarlanmış 20’den fazla ücretsiz, uygulamalı talep kaçakçılığı laboratuvarı vardır. Bu araştırma sırasında ortaya çıkan en yeni desync vektörünü araştıran yepyeni bir laboratuvar bile var.

• Ayrıştırıcı tutarsızlıkları için doğrudan denetim

  İstek kaçakçılığı tespiti için yerleşik teknikler, bilinen istek kaçakçılık kalıplarını engelleyen yüzeysel savunmalar nedeniyle genellikle güvenlik açıklarını kaçırır. James Kettle’ın son araştırması çok daha etkili bir yaklaşım sunuyor. Desync ilkellerine, sorunun kalbindeki ayrıştırma tutarsızlıklarına odaklanarak, bu gofret-ince savunmalardan kaçabilir ve gerçekten güvenli olup olmadığınızı kontrol edebilirsiniz.

  Burp Suite için yeni ve geliştirilmiş HTTP isteği Kaçakçı V3.0 uzantısı ile, müşterilerinizin web yığınında anomalileri hızla yüzeysel olarak yüzeyine yönlendirmek için bu yaklaşımı otomatikleştirebilirsiniz. Müşterilere mimarilerinin yıllarca tespit edilmemiş olabilecek şekillerde savunmasız olduğunu gösterebilirsiniz.

• Yığınınızın HTTP trafiğini nasıl ele aldığı konusunda görünürlüğü artırın

  Talep kaçakçılığı tespitinin temel zorluklarından biri, transitte nasıl dönüştürüldüklerini göremediğinizde isteklerinize ne olduğunu anlamaktır. Proxy, CDN ve uygulama sunucularının karmaşık zincirleri kritik davranışları gizleyebilir.

  Burp Suite için yeni HTTP hacker uzantısı sizi kontrol altına alıyor. Kalıcı bağlantılar ve boru hattı gibi gizli protokol detaylarını ortaya çıkarır, böylece istiflerin gerçek akışını yığın aracılığıyla haritalayabilirsiniz. Proxy zinciriniz için bir röntgen gibi, aksi takdirde gizli kalacak yüksek etkili güvenlik açıklarını ortaya çıkarmak ve kullanmanız için ihtiyacınız olan netliği verir.

  Bu tür şeffaflık, şüpheci paydaşlara iş etkisini kanıtlarken genellikle eksik bağlantıdır.

• Nişanlamalar arasında ölçeklenebilir desync tarama teklif edin

  Özellikle bir müşteri ile kısa, nadir gören katılımlarla sınırlıysanız, ölçekte istek kaçakçılığının manuel olarak test edilmesi zordur. Burp Suite Dast, James Kettle tarafından geliştirilen en son algılama tekniklerini kullanarak binlerce varlığı otomatik olarak tarayarak çabalarınızı ölçeklendirmenize yardımcı olur.

  Aynı araştırma destekli yaklaşım üzerine inşa edilen, gerçek Desync tespiti için kurumsal sınıf desteğine sahip tek DAST çözümüdür ve derinlikten ödün vermeden daha geniş bir kapsama alanı sağlar.

• Protokol modernizasyonu savunucusu

  Müşterileriniz tavsiyenize güvenir. Bu araştırmayı, özellikle dahili API’lar veya mikro hizmet mimarileri için mümkün olan her yerde HTTP/1.1’den aşamalı bir kullanımdan kaldırılması için temel olarak kullanın. Bulgularınızı mevcut katılımın ötesinde süren değişimi etkilemek için kullanın.

Sadece raporlar vermeyin. Değişiklik sağlayın.

“Oyuncak azaltma ve sadece yerleşik algılama metodolojisini kırmaya hizmet eden seçici sertleşme sayesinde güvenlik yanılsaması var. Gerçekte, HTTP/1.1, kritik güvenlik açıklarıyla çok yoğun bir şekilde paketlenir, bunları yanlışlıkla bulabilirsiniz.“Kettle yazıyor.

Bu yanılsama sizin için bir fırsat. Desync saldırıları uygulama hataları değildir; Bunlar mimari yükümlülükler. Müşterilerinizin sürdürülebilir bir güvenlik duruşuna doğru ilerlemesine yardımcı olmak istiyorsanız, şimdi konuşmaya başlayın.

Bu araçları ve araştırmaları şu şekilde kullanın:

• Hizmetlerinizi onay kutusu tarzı değerlendirmelerden ayırın.
• Yüzey riski diğerleri kaçırır ve net, eyleme geçirilebilir önerilere çevirir.
• Müşterilerin sadece yamalı eski yığınlara değil, güvenli tasarım mimarilerine doğru ilerlemelerine yardımcı olun.

Portswigger daha fazlasını teslim etmenize yardımcı olur

Portswigger sadece alarmı yükseltmek değil; Sizi harekete geçirecek araçlarla silahlandırıyoruz:

Burp Suite, zengin HTTP/1 ve HTTP/2 desteği, HTTP isteği kaçakçısı ve yeni HTTP Stream Hacker uzantıları sayesinde eşsiz desync algılama ve keşif yetenekleri sunar. Bu, basit, uygulama düzeyinde sorunların ötesinde herhangi bir şeyi test etmek için yüzeysel destekle subpar takımları ile zincirlenmemenizi sağlar.

DAST Ölçekli: Burp Suite Dast, kusurlu savunmaları atlayan ve desync saldırılarına maruz kaldıklarının gerçek kapsamını ortaya çıkaran güvenilir, ilkel düzey algılama teknikleri kullanarak müşterilerinizin mülkündeki istek kaçakçılığı vektörlerini tanımlar.

Eğitim ilk: Ücretsiz laboratuvarlarımız ve endüstri tanımlayan araştırmalarımız, en yeni bilgileri eyleme geçirilebilir eğitime çevirir.

Desync Endgame’e katılın

Burp Suite’in en son araç ve teknikleri sadece önceden alınan istismarlarla sabit bir oyun kitabı sağlamaz. Desync ilkellerini tespit etmenize yardımcı olmak için tasarlanmıştır: gerçek dünyadaki uzlaşmaya yol açan ince, hedefe özgü ayrıştırma uyumsuzlukları. Bu, bilinenlerin ötesine geçebileceğiniz ve başkalarının henüz hayal etmediği yeni Desync varyantlarını keşfedebileceğiniz anlamına gelir.

Her müşteri katılımı, değerinizi gösterme şansıdır. Kontrol listesinin ötesine geçin, yeni Desync sınıflarını keşfedin ve müşterilerinize büyük satıcıların bile kaçırdığı sistematik kusurları gösterin.

Müşterilere ne kadar risk altında olduklarını gösterin. Kalıcı değişimi tavsiye edin. Müşterilerinizin görmezden gelemeyeceği değer.

Ve her şeyden önce, beyan etmemize yardım edin: http/1.1 ölmeli.