Love Andren, Auditor i vogël i Sigurisë së Aplikacioneve në Outpost24, foli me Guru-në e Sigurisë së IT-së për kërcënimet e shfaqura të Kontrabandës së Kërkesave HTTP dhe uljes së HTTP/2, duke hedhur dritë mbi pasojat e mundshme dhe strategjitë e zbutjes.
Kontrabanda e kërkesës HTTP është një cenueshmëri që mund të shfrytëzohet nga kriminelët kibernetikë për shkak të lejimit të dy metodave të veçanta për llogaritjen e gjatësisë së trupit, Transfer-Encoding dhe Content-Length nga serveri në internet. Love shpjegoi se nëse të dyja metodat dërgohen në një kërkesë të vetme, mund të shkaktojë që serveri i përparmë ose i fundit të interpretojë kërkesën gabimisht, duke çuar në një desinkronizim në serverin e fundit. Ky desinkronizim lejon një sulmues të kontrabandojë një kërkesë të dytë HTTP brenda kërkesës së parë, duke paraqitur një rrezik të konsiderueshëm sigurie. Ndikimi i këtij shfrytëzimi varion nga rrëmbimi i seancave te anashkalimi i kontrollit të aksesit dhe madje edhe aktivizimi i sulmeve të Skriptimit në Site.
Nga ana tjetër, Love diskutoi çështjen e zvogëlimit të HTTP/2, ku serverët e vjetër të fundit përdorin ekskluzivisht HTTP/1. Kjo mund të rezultojë në probleme kur serveri i përparmë pranon titujt që nuk duhet, duke specifikuar gjatësinë e kërkesës. Kjo mund të çojë në skenarë ku një kërkesë HTTP/2 me një trup që përmban një kërkesë tjetër, por me një gjatësi të specifikuar të trupit "0", mund të shkaktojë që serveri i frontit ta shohë atë si dy kërkesa të veçanta kur konvertohet në HTTP/1.1, duke rifutur kështu kontrabandën e kërkesave në skenarët HTTP/2.
Të dyja këto dobësi mund të kenë implikime katastrofike për një aplikacion në internet nëse shfrytëzohen me sukses. Love theksoi nevojën që organizatat dhe ekipet e sigurisë të jenë të vetëdijshme për këto kërcënime dhe ndikimin e mundshëm që mund të kenë. Ai gjithashtu theksoi kompleksitetin e shfrytëzimit, duke vënë në dukje se ai mund të anashkalohet në favor të shfrytëzimeve më të zakonshme dhe më të lehta për t'u ekzekutuar si XSS ose çështjet e autorizimit.
Kur u pyet për rëndësinë e ardhshme të këtyre kërcënimeve, Love shprehu pasiguri, por nënvizoi rëndësinë që inxhinierët e sigurisë dhe hakerët etikë të familjarizohen më shumë me këto shfrytëzime komplekse për të zbutur sulmet e mundshme dhe përfundimisht për të sjellë vlerë për klientët e tyre.
Për sa i përket strategjive të zbutjes, Love theksoi nevojën për të konfiguruar serverët e përparme dhe të pasme për të përdorur të njëjtin titull për përcaktimin e gjatësisë në kontrabandën e kërkesave të bazuara në HTTP/1. Për më tepër, bllokimi i kërkesave të paqarta dhe kontrollimi gjithmonë i trupit të kërkesës, pavarësisht nga gjatësia e specifikuar, janë hapa të rëndësishëm. Për kontrabandën e kërkesave të prezantuara nga HTTP/2, u rekomandua mundësimi i komunikimit HTTP/2 nga fundi në fund dhe bllokimi i kërkesave që përmbajnë tituj HTTP/1 që specifikojnë madhësinë e trupit. Love theksoi gjithashtu rëndësinë e bllokimit të teknikave të tjera të përdorura në sulmet e kontrabandës së kërkesave, të tilla si injeksionet e sekuencës CRLF.
Si përfundim, të kuptuarit e këtyre dobësive dhe zbatimi i strategjive efektive zbutëse është thelbësore për organizatat që të mbrojnë aplikacionet e tyre në ueb nga shfrytëzimi i mundshëm dhe rreziqet e lidhura me to. Me udhëzimet dhe ekspertizën e profesionistëve si Love Andren, ekipet e sigurisë mund të qëndrojnë përpara kërcënimeve në zhvillim dhe të sigurojnë në mënyrë efektive asetet e tyre dixhitale.
Albanian 
English 
Serbian 
Croatian 