http 2.0安全性存在问题 Imperva已经修补了这个漏洞

坏消息,Imperva防护中心研究员表示 , HTTP/2容易受到慢读攻击!好消息,Imperva的研究人员和所有主流厂商合作,在相关漏洞被公布之前修补好了漏洞。

HTTP 1.1遭遇攻击

何其似曾相识!5年前HTTP 1.1也遭受了最后一次高调的慢读攻击,Slowloris攻击,令主流信用卡处理器崩溃。然而,这一次,危机得以避免。

HTTP 2.0漏洞攻击向量

Imperva的研究人员深入了解了来自Apache、微软、NGINX、Jetty和nghttp2等主流厂商的服务器应用。HTTP/2中引入了新机制,包括流控制、压缩、流复用、需要新代码和新应用的流依赖等。新代码通常都有漏洞,其中一些漏洞与旧代码中的类似,另一些漏洞因应用者没有遵循既定设计而引起。这些新机制通常都含有新代码,从而不成比例地向黑客扩大攻击面、暴露漏洞。

研究团队对来自主流厂商的HTTP/2应用进行了综合测试,一共发现了4个引人注目的漏洞。Imperva研究人员发现的4个引人注目的攻击矢量如下:

  1. 慢读(Slow Read):攻击调用恶意客户端非常慢速地读取响应,这与2010年主流信用卡处理器所遭受的知名Slowloris DDoS攻击惊人地相似。Imperva研究团队在多数流行的web服务器上都发现了这一漏洞的变种,包括Apache、IIS、Jetty、NGINX和nghttp2。
  2. HPACK炸弹(HPACK Bomb):这类压缩层攻击类似于一个压缩炸弹。 攻击者伪造看似合法的消息,这些消息在服务器上转换为数千兆字节的海量数据,拉高服务器内存占用用率,并导致性能下降。
  3. 依赖循环攻击(Dependency Cycle Attack):攻击利用了HTTP/2引入的、用于网络优化的流控机制。 恶意客户端伪造请求,诱发依赖循环,迫使服务器进入处理依赖关系的死循环。
  4. 流复用滥用(Stream Multiplexing Abuse):攻击者利用服务器执行流复用功能时的漏洞,导致服务器崩溃。 这最终导致服务器拒绝服务合法用户。

HTTP 2.0漏洞防护办法

对此类漏洞最好的防护方法还是网络应用防火墙(WAF)。有虚拟补丁功能的WAF是安全团队最好的工具,在零日漏洞公布后立即防御,留足够的时间为服务器打补丁。

发表评论