今天小編分享的科技經驗:HTTP / 2 協定被曝安全漏洞,被黑客利用可發起拒絕服務攻擊,歡迎閲讀。
IT 之家 4 月 8 日消息,網絡安全研究員 Bartek Nowotarski 于 1 月 25 日報告,發現 HTTP / 2 協定中存在一個高危漏洞,黑客利用該漏洞可以發起拒絕服務(DoS)攻擊。
Nowotarski 于 1 月 25 日向卡内基梅隆大學計算機應急小組(CERT)協調中心報告了這個發現,該漏洞被命名為 "HTTP / 2 CONTINUATION Flood"。
該漏洞主要利用 HTTP / 2 的配置不當實現,主要是未能限制或淨化請求數據流中的 CONTINUATION 幀。
CONTINUATION 幀是一種用于延續報頭塊片段序列的方法,允許在多個幀中分割報頭塊(header block)。
當伺服器收到一個特定的 END_HEADERS 标志,表明沒有其他 CONTINUATION 或其他幀時,先前分割的報頭塊就被視為已完成。
如果 HTTP / 2 實現不限制單個數據流中可發送的 CONTINUATION 幀的數量,就很容易受到攻擊。如果攻擊者開始向未設定 END_HEADERS 标志的易受攻擊伺服器發送 HTTP 請求,該請求将允許攻擊者向該伺服器持續發送 CONTINUATION 幀流,最終導致伺服器内存不足而崩潰,并導致成功發起拒絕服務 ( DoS ) 攻擊。
HTTP / 2(原名 HTTP 2.0)即超文本傳輸協定第二版,使用于萬維網。HTTP / 2 主要基于 SPDY 協定,通過對 HTTP 頭資料欄進行數據壓縮、對數據傳輸采用多路復用和增加服務端推送等舉措,來減少網絡延遲,提高客户端的頁面加載速度。
IT 之家附上參考地址