Amelia Coen | 27 Ağustos 2025, 09:11 UTC
.png)
Etik hackleme ve APPSEC uzmanı John Hammond ve dünyaca ünlü güvenlik araştırmacısı James Kettle arasındaki yepyeni bir işbirliğinde çift, on milyonlarca web sitesinin nasıl tehlikeye atıldığını araştırıyor.
Bu videoda, John ve James, James’in yeni HTTP/1.1’in derinliklerine dalıyor, HTTP/1.1’in doğal güvensizliğine odaklanan web güvenliğinin en son teknolojisi olan Araştırma Ölmeli Araştırma. James’in açıkladığı gibi, yukarı akış HTTP/1.1 rutin olarak milyonlarca web sitesini düşmanca devralmaya maruz bırakıyor. Altı yılı aşkın bir süredir, satıcılar hafifletme sonrasında hafifletme sağladılar, ancak araştırmacılar sürekli olarak bunları atlamanın yollarını buldular.
Videoyu İzle
HTTP/1.1 neden ölmeli?
Portswigger’ın son araştırmalarında James, yeni HTTP Desync saldırısı sınıfları sunuyor ve büyük CDN’lerde temel altyapı da dahil olmak üzere on milyonlarca web sitesini etkileyen kritik güvenlik açıklarını gösteriyor. Canlı bir demo, tehdidi daha somut hale getiriyor ve saldırganların temel protokol kusurlarını yıkıcı etkiye nasıl kullandıklarını gösteriyor.
Paket servisi açıktır: HTTP/1.1’in ölümcül bir kusuru vardır. Saldırganların bir talebin nerede bittiği ve bir sonrakinin başladığı konusunda tehlikeli bir belirsizlik yaratmasına izin verir. Buna karşılık, HTTP/2 bu belirsizliği ortadan kaldırır, desync saldırılarını neredeyse imkansız hale getirir – sadece kenarda değil, aynı zamanda ters vekiller ve orijin sunucuları arasındaki yukarı akış bağlantı için de kullanılır.
Ne yapmam gerekiyor?
Şimdi harekete geçin: http/1.1’i öldürme görevine katılın
Harekete Katılın
Resmi Portswigger Discord’da binlerce güvenlik testçisi, hata ödül avcısı ve AppSec profesyonelleri var.
Tartışmaya katılmak ve uygulamalarında başkalarının HTTP/1.1’i nasıl öldürdüğünü duymak için bugün sunucuya katılın.
