【原】HTTP/2 协议实现中存在四大安全漏洞

E安全8月4日讯 据国外媒体报道，数据安全公司Imperva的两名研究人员与大型Web服务器厂商密切合作修复HTTP/2 协议实现中的四个漏洞。

HTTP/2是旧HTTP 1.1协议的下一代。HTTP 1.1是大多数人用来访问网站使用的协议。网络技术调查公司W3Techs表示，HTTP/2于去年发布，目前9.1%的网站正在使用。
HTTP/2的优点在于从服务器传送内容到用户的速度得到改善。

就像其它协议，HTTP/2是需要添加到Web服务器源代码上的一堆代码。以通过HTTP/2支持数据传输。

Slowloris攻击六年后卷土重来
Imperva的研究人员表示，HTTP/2 协议中的核心代码中存在四个漏洞，这对大多数HTTP/2 Web服务器的实现有影响。

第一个漏洞被称为“慢读（Slow Read）”。2010年发生的Slowloris攻击中，正是利用了HTTP/1.1协议中存在的该漏洞。该漏洞还移植到至HTTP/2 协议。Slowloris攻击在2010年可谓安全行业的一件大事，因为攻击者利用慢速DDoS攻击窃取信用卡公司服务器的数据。
Imperva称在支持HTTP/2的Web服务器上发现了“Slow Read”攻击，比如Apache、IIS、Jetty、NGINX和 nghttp2。

第二种攻击被称为“HPACK Bomb”，黑客通过此类攻击在ZIP文件内隐藏大量数据。当服务器处理这些文件时，数据迅速扩大并占用服务器的物理内存，顷刻间使服务器瘫痪。

第三种攻击名为“依赖网络攻击（Dependency Cycle Attack）”，该攻击在HTTP/2专门推出的流量控制机制中发生。攻击者可以利用这种攻击使服务器进入无限请求循环。

第四种攻击名为“Stream多路复用滥用（Stream Multiplexing Abuse）”，是HTTP/2中Stream多路复用功能中存在的漏洞，会导致拒绝服务。

Imperva：预计HTTP/2存在更多漏洞
Imperva研究人员表示，如果网站管理员及时更新到最新版本，无需担心漏洞问题。
此外，由于该协议仍是较早的版本，用户、网站管理员和开发人员应该预料到会存在更多的安全漏洞，直到代码库解决所有问题。

Imperva团队解释道，“新代码总有缺陷，一些漏洞类似老旧代码中存在的漏洞，一些是因为为实施者未遵循设计。但是，新机制不成比例地增加了黑客的攻击面，并暴露漏洞，因为新机制中总包含新代码。”

E句话：供国内同行们参考！