E安全8月4日讯 据国外媒体报道,数据安全公司Imperva的两名研究人员与大型Web服务器厂商密切合作修复HTTP/2 协议实现中的四个漏洞。 HTTP/2是旧HTTP 1.1协议的下一代。HTTP 1.1是大多数人用来访问网站使用的协议。网络技术调查公司W3Techs表示,HTTP/2于去年发布,目前9.1%的网站正在使用。 就像其它协议,HTTP/2是需要添加到Web服务器源代码上的一堆代码。以通过HTTP/2支持数据传输。 Slowloris攻击六年后卷土重来 第一个漏洞被称为“慢读(Slow Read)”。2010年发生的Slowloris攻击中,正是利用了HTTP/1.1协议中存在的该漏洞。该漏洞还移植到至HTTP/2 协议。Slowloris攻击在2010年可谓安全行业的一件大事,因为攻击者利用慢速DDoS攻击窃取信用卡公司服务器的数据。 第二种攻击被称为“HPACK Bomb”,黑客通过此类攻击在ZIP文件内隐藏大量数据。当服务器处理这些文件时,数据迅速扩大并占用服务器的物理内存,顷刻间使服务器瘫痪。 第三种攻击名为“依赖网络攻击(Dependency Cycle Attack)”,该攻击在HTTP/2专门推出的流量控制机制中发生。攻击者可以利用这种攻击使服务器进入无限请求循环。 第四种攻击名为“Stream多路复用滥用(Stream Multiplexing Abuse)”,是HTTP/2中Stream多路复用功能中存在的漏洞,会导致拒绝服务。 Imperva:预计HTTP/2存在更多漏洞 Imperva团队解释道,“新代码总有缺陷,一些漏洞类似老旧代码中存在的漏洞,一些是因为为实施者未遵循设计。但是,新机制不成比例地增加了黑客的攻击面,并暴露漏洞,因为新机制中总包含新代码。” E句话:供国内同行们参考! |
|