HTTP/2协议有4个漏洞，可能会让黑客破坏服务器

研究人员用了四个月就发现了HTTP/2协议中的四个缺陷。

去年2月，谷歌将其SPDY项目捆绑到HTTP/2中，以加速网页加载和在线用户的浏览体验，HTTP/2于5月正式启动。

现在，数据中心安全供应商Imperva的安全研究人员今天在Black Hat conference上透露了HTTP/2–；今天的网络所基于的HTTP网络协议的一个重大修订。

这些漏洞使得攻击者能够通过向web服务器发送大量看似无辜的消息来降低其速度，这些消息承载着高达千兆字节的数据负载，使服务器陷入无限循环，甚至导致服务器崩溃。

HTTP/2协议可分为三层：

• 包括流、帧和流控制的传输层
• HPACK二进制编码和压缩协议
• 语义层–；HTTP/1.1的增强版，具有丰富的服务器推送功能。

研究人员深入研究了Apache、Microsoft、NGINX、Jetty和nghttp2的HTTP/2服务器实现，发现了所有主要HTTP/2实现中的可利用漏洞，包括两个类似于HTTP/1中众所周知且被广泛利用的漏洞。十、

HTTP/2中发现的四个关键漏洞包括：

1.慢速阅读（CVE-2016-1546）

此攻击与主要信用卡处理商在2010年遭遇的著名Slowloris DDoS（分布式拒绝服务）攻击相同。慢速读取攻击要求恶意客户端非常缓慢地读取响应。

HTTP/1中对慢读攻击进行了深入研究。它们仍然存在于HTTP/2实现的应用层。

“Imperva防御中心在最流行的web服务器上发现了这种漏洞的变种，包括Apache、IIS、Jetty、NGINX和nghttp2，”Imperva说。

2.HPACK炸弹（CVE-2016-1544、CVE-2016-2525）

HPACK Bomb是一种压缩层攻击，类似于zip炸弹攻击或“减压炸弹”。

HPACK用于减小数据包头的大小。基本上，发送方可以告诉接收方用于解码报头的报头压缩表的最大大小。

在这次攻击中，潜在的黑客会在服务器上创建看似无辜的小消息，这些消息实际上会解压成千兆字节的数据，从而消耗所有服务器内存资源，并有效地减缓或破坏目标系统。

Imperva创建了一个4KB大小的标题——与整个压缩表的大小相同。然后在同一个连接上，它打开了新的流，每个流都尽可能多次引用初始头（最多16K个头引用）。

Imperva的研究人员解释说，在发送14个这样的流之后，解压后的连接消耗了896MB的服务器内存，导致服务器崩溃。

3.依赖周期攻击（CVE-2015-8659）

此攻击利用HTTP/2用于网络优化的流控制机制。

恶意客户端可以使用精心编制的请求来提示依赖循环，从而迫使服务器进入无限循环。

该漏洞可能会让攻击者造成拒绝服务（DoS）甚至在易受攻击的系统上运行任意代码。

4.流复用滥用（CVE-2016-0150）

该攻击允许攻击者利用服务器实现流多路复用功能的方式中的漏洞，使服务器崩溃。这种攻击最终会导致对合法用户的拒绝服务（DoS）。

这四个漏洞都已在HTTP/2中修复，据W3Techs称，目前约有8500万个网站在使用HTTP/2，约占互联网上所有网站的9%。

以下是Imperva联合创始人兼首席技术官阿米凯·舒尔曼（Amichai Shulman）的话：

“HTTP/2中引入的移动应用程序的一般web性能改进和特定增强对互联网用户来说是一个潜在的福音。然而，在短时间内向野外发布大量新代码为攻击者创造了极好的机会。”

“虽然在HTTP/2中引入已知的HTTP 1.x威胁令人不安，但这并不令人意外。与所有新技术一样，企业必须进行尽职调查并实施安全措施，以强化扩展的攻击面，保护关键业务和消费者数据免受不断演变的网络威胁。”

这些漏洞利用了HTTP/2功能，旨在减少带宽使用和往返，同时加快网站加载时间。

According to Imperva researchers, by implementing a web application firewall (WAF) with virtual patching capabilities can help enterprises to prevent their critical data and applications from cyber attack while introducing HTTP/2.

你可以在一份名为“[PDF]的报告中获得Imperva研究的更多细节。”HTTP/2：深入分析下一代web协议的四大缺陷."