timeless-timing-attacks:检测HTTP/2服务器的时间无界安全问题
项目地址: https://gitcode.com/gh_mirrors/ti/timeless-timing-attacks 项目介绍
timeless-timing-attacks 是一个基于 Python 的实现,用于测试 HTTP/2 服务器是否存在时间无界安全问题(Timeless Timing Issue)。该测试方式可以在不依赖时间同步的条件下,通过分析请求处理时间的微小差异来评估系统行为。
项目技术分析
timeless-timing-attacks 利用 HTTP/2 协议的特性,通过发送成对的请求并精确测量它们的响应时间差异来工作。以下是项目的主要技术组成:
- Python 3.7.x 或更高版本:项目主要使用 Python 语言进行开发,支持 Python 3.7 及以上版本。
- hyper-h2 Python 包:用于实现 HTTP/2 协议的客户端功能。
- OpenSSL:确保网络通信的安全性。
项目中的 h2time.py 文件定义了两个主要类:H2Request 和 H2Time。H2Request 类用于创建 HTTP/2 请求对象,而 H2Time 类则负责执行时间无界测试,包括发送请求、收集响应时间并分析结果。
项目及应用场景
使用场景
在 HTTP/2 服务器安全性测试中,timeless-timing-attacks 可用于以下场景:
- 服务器安全扫描:评估服务器是否存在时间无界安全问题。
- 安全评估:在开发过程中对 HTTP/2 服务器进行安全评估,确保其系统行为符合预期。
- 性能分析:通过分析请求处理时间差异,评估服务器的性能和响应时间。
使用示例
以下是一个基本的使用示例,更多示例可参考项目中的 examples.py 文件。
from h2time import H2Request, H2Time
r1 = H2Request('GET', 'https://example.com/?1')
r2 = H2Request('GET', 'https://example.com/?2')
async with H2Time(r1, r2) as h2t:
results = await h2t.run_attack()
print('\n'.join(map(lambda x: ','.join(map(str, x)), results)))
在这个示例中,创建了两个 H2Request 对象,并将它们传递给 H2Time 对象。当调用 run_attack() 方法时,客户端会尝试同时发送这两个请求,并在服务器上同时处理它们。通过分析响应时间的差异,可以评估系统行为。
项目特点
- 基于 HTTP/2 协议:利用 HTTP/2 的特性进行测试,确保测试的准确性和高效性。
- 易于使用:通过简单的 API 调用即可进行测试,无需复杂的配置。
- 灵活的测试模式:支持顺序和并行测试模式,适应不同的测试需求。
- 结果清晰:返回的测试结果包括响应时间差异、请求状态等信息,便于分析。
- 持续更新:项目会不断更新和优化,以适应新的测试需求。
总结来说,timeless-timing-attacks 是一款功能强大且易于使用的 HTTP/2 服务器安全测试工具。通过该项目,开发者可以有效地评估并优化系统行为,确保其服务的可靠性。我们推荐开发者使用此工具对 HTTP/2 服务器进行安全性评估,提升服务器的性能表现。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
