Amelia Coen | 05 Ağustos 2025, 11:08 UTC
Saldırganların büyük ödüller kazanmak için HTTP altyapısındaki görünmez çatlakları kullanarak modern web sitelerini nasıl tehlikeye atabileceğini hiç merak ettiniz mi?
Son videosunda Nahamsec, Portswigger araştırma direktörü James Kettle ile istek kaçakçılığının temellerini aşıyor. Çiftin, ilk ortaya çıktıktan yaklaşık yirmi yıl sonra hala web yığınlarını rahatsız eden bir güvenlik açıkları sınıfı olan HTTP isteği kaçakçılığı dünyasına derinlemesine dalın.
Ne öğrenebilirim?
James, ön uç ve arka uç sunucularının HTTP başlıklarının yorumlama şeklindeki farklılıkların, kötü niyetli isteklerin güvenlik savunmalarını, kaçırma oturumlarını, zehirli önbellekleri gizlemesine ve hatta tüm sistemleri tehlikeye atmasına izin verebileceğini bozuyor.
Video ayrıca HTTP/2 indirgemeleri, tarayıcı ile çalışan desync ve Netflix ve Atlassian gibi önemli platformları etkileyen gerçek dünya vaka çalışmalarını içeren en yeni teknikleri de kapsıyor.
İster pentester, geliştirici veya AppSec Pro olun, bu, web’in en az tahmin edilen risklerinden birini anlamak için bir zorunluluktur.
Videoyu izleyin.
HTTP isteği kaçakçılığı hakkında daha fazla bilgi edinmeye hazır mısınız?
6 Ağustos’ta James Kettle, HTTP/1.1’in nasıl ölmesi gerektiğini açıklayan Black Hat USA’daki yeni Desync saldırılarını ortaya çıkaran çığır açan yeni araştırmalar yayınlayacak.
Bu yeni sürümden haberdar olun, bunun bir böcek avcısı için ne kadar kazançlı olabileceğini öğrenin ve harekete http1mustdie.com adresinden katılın.
İstek kaçakçılığına başlayan diğer böcek avcılarıyla sohbet edebilir miyim?
Kesinlikle! Portswigger Discord’da gelişen bir test uzmanları, böcek avcıları, öğrenciler ve APPSEC profesyonelleri var.
İstek kaçakçılığı konuşmasına katılmak, ilerlemenizi paylaşmak ve kazançlarınızı kutlamak için bugün sunucuya katılın!