Andrzej Matykiewicz | 09 Ekim 2025 14:06 UTC
PortSwigger’ın Araştırma Direktörü James Kettle, Black Hat USA 2025 ve DEF CON 33’te şüpheye yer bırakmayacak bir şeyi kanıtlayan yeni HTTP senkronizasyon bozma tekniklerini açıkladı: HTTP/1.1 bozuldu ve hâlâ ona güvenen her kuruluş risk altında.
Bunun işletmeler açısından ne anlama geldiğini anlamak için şu kişilerle konuştuk: Dafydd StuttardBurp Suite’in yaratıcısı, PortSwigger CEO’su ve ufuk açıcı Web Uygulaması Hacker’s Handbook’un yazarı. Güvenlik liderlerine mesajı açık: “Yığınınızda herhangi bir HTTP/1.1 atlama varsa, savunmasız olduğunuzu varsayalım.”
Güvenlik liderleri 2025’te neden hala “eski” protokol kusurlarını önemsemeli?
Sanırım söyleyeceğim ilk şey onların hiç de “yaşlı” olmadığıdır; oldukça canlılar. HTTP/1.1 bugün hala internet trafiğinin yaklaşık yarısında kullanılıyor. Protokolün kendisi eskidir ve günümüzün genişleyen, katmanlı altyapılarını öngörmeyen farklı bir internet için tasarlanmıştır. CDN’leri, proxy’leri ve uygulama sunucularını bir arada zincirlediğinizde, istekleri nasıl ele aldıkları konusunda ince anlaşmazlıklar kaçınılmaz hale gelir.
Bu, doğası gereği metin tabanlı bir protokol olduğundan özellikle HTTP/1.1 için geçerlidir. Sonuç olarak, trafikle etkileşime giren her sistemin, farklı HTTP mesajlarını ve bunların içinde kodlanmış ilgili verileri tanımlamak için bir bayt akışını bağımsız olarak ayrıştırması gerekir. Bunu tutarlı bir şekilde yapmak, özellikle üçüncü taraf hizmetlerinin ve ilgili altyapının bu kadar yaygın olduğu bir dünyada, oldukça zorlayıcıdır.
Zayıf halka tam olarak nerede?
Çoğu zaman insanların düşündüğü yer burası değildir. Tarayıcı ile uç arasındaki bağlantı genellikle sağlamdır: şifrelenmiştir ve HTTP/2 yaygın olarak desteklenmektedir. Gerçek tehlike, CDN’niz ile kaynağınız, proxy’niz ve uygulama sunucunuz arasındaki ve hatta dahili mikro hizmetler arasındaki görüşmelerde, yukarı akışta gizleniyor.
Bu atlama noktalarından herhangi biri hala HTTP/1.1 kullanıyorsa, açığa çıkarsınız. Bu yüzden bu geleneksel anlamda bir “hata” değil. Bu yama yapıp devam edebileceğiniz bir şey değil. Bu mimari bir kusurdur ve tek gerçek düzeltme HTTP/1.1’i tamamen ortadan kaldırmaktır.
Rahatsız edici gerçek şu ki, büyük CDN’ler de dahil olmak üzere birçok HTTP/2+ hizmeti, istemciler tarafından gönderilen HTTP/2 trafiğini dahili olarak HTTP/1.1’e düşürüyor. Eğer altyapınız, ön uç web sunucusunun yukarı akışındaki herhangi bir yerde HTTP/1.1’e düşerse, senkronizasyonu bozma saldırılarına kapıyı yeniden açmakla kalmamış, aslında tehdidi daha da kötüleştirmiş olursunuz.
Bu sürüm düşürme genellikle üçüncü taraf altyapısında gerçekleşir ve bunu devre dışı bırakma seçeneğiniz bile olmayabilir. Neden? Çünkü satıcılar, müşterilerinin önemli bir kısmı tarafından hâlâ kullanılan eski sistemlerle geriye dönük uyumluluğa ihtiyaç duyuyor. Bence James bunu araştırma makalesinde en iyi şekilde ortaya koyuyor ve şunu belirtiyor: “Bulut tabanlı proxy’leri benimsemenin gözden kaçan tehlikesi, başka bir şirketin teknoloji borcunu kendi güvenlik duruşunuza etkili bir şekilde uygulamanızdır“.
Bunu özellikle büyük kuruluşlar için tehlikeli kılan şey nedir?
İşletmeler için zorluk, ölçek ve karmaşıklıktır. Yalnızca bir web uygulamasını çalıştırmıyorsunuz, tüm bir ekosistemi yönetiyorsunuz: birden çok CDN, katmanlı ters proxy’ler, hizmet ağları, mikro hizmetler, API’ler ve bunlar genellikle bir dizi farklı satıcıdan geliyor. Bu karmaşıklık, genellikle güvenliğiniz açısından kritik sonuçlar doğuran, tespit edilmesi zor, protokol düzeyindeki sorunlar için verimli bir zemin oluşturur.
Büyük bir kuruluşta, tek bir başarılı desync saldırısı yalnızca bir kullanıcı oturumunun ele geçirilmesiyle ilgili değildir. Bu, geniş ölçekte açığa çıkmayla ilgilidir; sızdırılan kimlik bilgileri, çalınan veriler, enjekte edilen kötü amaçlı içerik, platformun tamamında güvenin zedelenmesi. Bir saldırgan için bu bir altın madenidir. Sizin için bu sistemik bir iş riskidir.
Olayları bir perspektife oturtmak gerekirse, James ve işbirlikçileri, birkaç büyük CDN’nin (toplamda yaklaşık 30 milyon web sitesi) neredeyse tüm müşterilerinin güvenliğini tehlikeye attıktan sonra bu yılki araştırma sırasında 350 bin doların üzerinde hata ödülü elde etti. Bu, yıllar süren sözde sertleşmeye rağmen, bu sorunların hem ciddiyetini hem de kalıcılığını vurgulamaya hizmet ediyor.
Kuruluşlar harekete geçmezse gerçek iş riski nedir?
Risk, saldırganların site genelinde uzlaşma sağlamasıdır. HTTP senkronizasyon bozukluğu (diğer bir deyişle istek kaçakçılığı) saldırıları ile bir saldırgan, sunucuların trafiği işleme biçimini manipüle edebilir ve bu da bir dizi ciddi sonucun ortaya çıkmasına neden olabilir: aktif oturumların çalınması, diğer kullanıcılara ait hassas yanıtların ele geçirilmesi veya kullanıcıları geniş ölçekte etkileyen kötü amaçlı kodların enjekte edilmesi.
Bu sadece güvenlik duruşunuzu etkilemeyen, aynı zamanda müşteri güvenini, uyumluluk yükümlülüklerini ve nihayetinde işletmenizin itibarını da etkileyen türden bir güvenlik açığıdır.
Çoğu kuruluşun bunu hafife aldığını mı düşünüyorsunuz?
Neredeyse kesinlikle. Benzer etki potansiyeline rağmen, istek kaçakçılığı tarihsel olarak SQL enjeksiyonu veya siteler arası komut dosyası oluşturma ile aynı görünürlüğe sahip olmamıştır. Sorun genellikle kuruluş dışında, satıcı tarafından yönetilen altyapıdan kaynaklandığı için liderlerin bunu gözden kaçırması kolaydır. Önde gelen satıcıların standart, yaygın olarak kullanılan teknolojilerinin varsayılan olarak güvenli olduğu varsayımı sıklıkla vardır.
Ancak James’in son araştırması bu varsayımın tehlikeli olduğunu gösteriyor. Bulut sağlayıcıları HTTP/2 desteğinin reklamını yaptığında bile çoğu şirket içinde sessizce HTTP/1.1’e geçiş yapıyor. Bu, güvenli olduğunu düşündüğünüz yerlerde güvenlik açıklarının yeniden ortaya çıkabileceği anlamına gelir.
HTTP/1.1 yukarı akış bağlantılarında varlığını sürdürmeye devam ederse ne olur?
Daha sonra döngü devam eder: yamalar, atlamalar ve yeniden keşifler. Tarih, geçici azaltımların temeldeki kusuru çözmediğini gösteriyor. Saldırganlar basitçe uyum sağlar ve onların etrafından dolaşır. HTTP/1.1 devrede kaldığı sürece sorun ortadan kalkmıyor.
Bu nedenle HTTP/1.1 ölmeli kampanyasını başlattık. Bu, talep kaçakçılığını başka bir hata sınıfı olarak ele almakla ilgili değil. Bu, protokolün modern kullanım açısından ihlal edildiğinin farkına varılması ve bunun kaldırılmasına stratejik bir öncelik olarak yaklaşılmasıyla ilgilidir.
Bunu düzeltmek için kimin sorumluluğu alması gerekiyor?
Burada üç grup var.
- SatıcılarBulut sağlayıcıları ve CDN’ler de dahil olmak üzere, her yukarı akış bağlantısında HTTP/1.1’in devre dışı bırakılmasını mümkün ve basit hale getirmeleri gerekiyor. Şu anda bazıları bunu yapmıyor.
- Araştırmacılar Hem yeni tekniklerle hem de savunmacıların bunları tespit etmesine olanak tanıyan araçlarla bu konulara ışık tutmaya devam etmemiz gerekiyor. James’in teknik incelemesi, keşfedilecek birkaç potansiyel yol öneriyor ve Burp Suite için açık kaynaklı HTTP İstek Kaçakçısı uzantısı, üzerine geliştirme yapmanız için sağlam bir temel sağlıyor.
- İşletmeler Kendi ortamlarını uygun taramayla incelemeli, çatlakların tam olarak nerede olduğunu anlamalı ve tedarikçilerini gerektiğinde bunları kapatmaktan sorumlu tutmalıdırlar.
Burp Suite neden bunu tespit etmek için benzersiz bir şekilde uygundur?
Burp farklıdır çünkü kendi HTTP yığınını uygular. Bu, diğer araçların yapamayacağı şekilde, protokol düzeyindeki istekleri işleyebileceği anlamına gelir ve istek kaçakçılığını ortaya çıkarmak için tam da ihtiyacınız olan şey budur.
Ayrıca Burp Suite Professional ve Burp Suite DAST’taki hem manuel araçlara hem de otomatik taramaya yetenekler kazandırmak için James’in yepyeni algılama yöntemini kullandık, böylece kuruluşlar hem uç durumları keşfedebilir hem de ortamlarında tekrarlanabilir testler gerçekleştirebilir. Başka hiçbir araç, talep kaçakçılığı güvenlik açıklarını bu kadar etkili bir şekilde tespit edemez, hatta hiç edemez.
Liderler, tedarikçilerinin ve ortaklarının kendilerini gerçekten koruyup korumadığını nasıl bilebilirler?
Günümüzde tek güvenilir yol test etmektir. Açığa çıkıp çıkmadığınızı görmek için Burp Suite’in en son sürümü ve James’in HTTP İstek Kaçakçısı uzantısıyla taramalar yapın ve bulguları doğrulamak için manuel araçları kullanın. Daha büyük mülkler için Burp Suite DAST, kurumsal ölçekte senkronizasyonun bozulmasına yönelik güvenlik açıklarını test etme konusunda benzersiz bir yeteneğe sahiptir.
Tedarikçiler olgunlaştıkça konfigürasyona dayalı güvenceler gelecekte gerçekçi hale gelebilir, ancak henüz o noktada değiliz. Şu anda, en son teknolojiye sahip araçlarla sürekli test yapmak, varsayımları aşıp gerçeği görmenin tek yoludur.
Bunu yaparken liderliğin acil değeri nedir?
Açıklık. En önemli sorulara hızlı ve somut yanıtlar alırsınız: Savunmasız mıyız? Nerede? Ne kadar kötü? Bu size düzeltmeleri önceliklendirme, sorunları tedarikçilerinizle paylaşma ve ardından iyileştirmeleri onaylamak için yeniden test yapma olanağı sağlar. Bu, bunu bilinmeyen riskten ölçülebilir ilerlemeye taşıyan net bir geri bildirim döngüsüdür.
HTTP/1.1’den çıkışlarını planlayan CISO’lara verilebilecek en önemli tavsiye nedir?
Uçtan uca düşünün. Düzeltme kısmi değil; yaygın olması gerekiyor. Altyapınızın her uç noktasının, her atlama noktasının, her katmanının HTTP/1.1’in ötesine geçmesi gerekir.
Ayrıca mevcut AppSec araçlarınızın çoğunun (SAST, SCA, geleneksel DAST) doğru yerde bile görünmediğini unutmayın. Bu bir taşıma katmanı hatasıdır. Bu düzeyde araştırma yapabilecek araçlara ve süreçlere ihtiyacınız var ve HTTP/1.1’in mülkünüzde gerçekten öldüğünden emin olmak için organizasyonel iradeye ihtiyacınız var.
Güvenlik liderlerinin şimdi yapması gerekenler
- Gerçekliğinizin haritasını çıkarın. CDN’den kaynağa, proxy’den uygulamaya, hizmetten hizmete kadar her yukarı akış bağlantısının envanterini çıkarın ve HTTP/1.1’in hala kullanımda olduğu yerleri belirleyin.
- HTTP/1.1 olmayan bir politika belirleyin. Her yerde HTTP/2 veya üzerini zorunlu tutun ve sağlayıcıları bunu sağlama konusunda sorumlu tutun.
- Bir saldırgan gibi test edin. Uygulamalarınızı taramak ve maruziyeti protokol düzeyinde doğrulamak için Burp Suite’i kullanın. Portföyünüzü geniş ölçekte taramak ve sonuçları Burp Suite Professional’da doğrulamak için Burp Suite DAST’ı kullanın.
- Kurumsallaştırın. HTTP/1’in tekrar devreye girmemesi için mimari incelemeleri, katılım süreçleri ve satıcı değerlendirmelerini kontrol edin.
Kapanış düşüncesi
Milletvekili DAFYDD şöyle ifade ediyor: “Bu sadece düzeltebileceğiniz başka bir hata değil. Kasıtlı olarak ortadan kaldırılması gereken mimari bir kusurdur. Yığınınızda hâlâ HTTP/1.1 varsa, açığa çıktığınızı varsayalım.”
Ek kaynaklar
