HTTP/1.1 под прицелом: старая проблема снова ставит под угрозу миллионы сайтов

Исследователи из PortSwigger напомнили: устаревший протокол HTTP/1.1 до сих пор содержит уязвимость, которая позволяет проводить так называемые атаки десинхронизации запросов (HTTP desync). Этот метод использует различия в том, как серверы и прокси-системы трактуют границы между запросами. В итоге вредоносный пакет данных может быть воспринят бэкендом как безопасный и выполнен без блокировки.

Уязвимость известна с 2019 года, но корневая проблема в архитектуре HTTP/1.1 так и не была устранена. Даже внедрённые за последние годы меры обходятся новыми техниками атаки. Свежие тесты PortSwigger показали, что проблема затрагивает не только отдельные сайты, но и инфраструктуру крупных CDN, что автоматически ставит под удар десятки миллионов ресурсов.

Главная опасность в том, что использование HTTP/2 на внешнем контуре не решает вопрос. Если внутренние каналы между прокси и сервером продолжают работать по HTTP/1.1, злоумышленники всё ещё могут эксплуатировать баг. Эксперты настаивают на полном переходе на HTTP/2 или более новые версии протоколов, включая модернизацию внутренних соединений и обязательную проверку входящих запросов.

Разработчикам и администраторам советуют не только обновлять протокол, но и внедрять фильтрацию HTTP-заголовков, отключать повторное использование соединений там, где это возможно, а также регулярно проверять ресурсы специальными инструментами, вроде HTTP Request Smuggler 3.0 и HTTP Hacker. Исследователи резюмируют: чем дольше компании остаются на HTTP/1.1, тем выше шанс, что уязвимость вновь будет использована в массовых атаках.