HTTP/2 中的漏洞

最新推荐文章于 2025-10-31 11:36:19 发布
原创 最新推荐文章于 2025-10-31 11:36:19 发布 · 5.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #网络协议 #网络 #安全 #web安全 #人工智能 #网络安全

另一个热门漏洞是 CVE-2023-44487

该漏洞与 HTTP/2 协议实施中的一个缺陷有关,可用于实施 DDoS 攻击。使用该漏洞的攻击被命名为 HTTP/2 快速重置。

为什么它很危险

要利用该漏洞,攻击者需要在 HTTP/2 会话中打开大量请求,然后在不等待服务器响应的情况下,使用RST_STREAM 请求中断连接。利用该漏洞可以在客户端负载最小的情况下,向服务器发送大量请求流,从而导致系统拒绝服务。谷歌和 Cloudflare 的产品和服务中也出现过类似的攻击。

❗️要修复 

最低0.47元/天 解锁文章
【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 7943
Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
nginx http/2模块漏洞修复记录
hard_refuse_back的博客
10-25 2120
网站的nginx http/2模块安全漏洞修复记录 解决方案:将旧版本1.14.2升至安全版本1.16.1 1.nginx旧版本配置查看 [root@node2 ~]# nginx -V nginx version: nginx/1.14.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2s 28 May 2019 TLS SNI support enabled configure argumen
CVE-2023-44487修复
m0_66820433的博客
03-20 5981
CVE-2023-44487HTTP/2 协议中的一个高危拒绝服务漏洞,攻击者通过快速发送并取消请求(HEADERS 和 RST_STREAM 帧组合),导致服务器资源耗尽。
利用快马AI平台快速修复CVE-2023-44487:自动化漏洞修复实战
最新发布
JetRaven12的博客
10-31 863
通过这次实战,我深刻体会到快马平台在漏洞修复中的高效性。它不仅简化了代码生成和部署流程,还提供了全面的分析和测试工具。对于开发者来说,这样的平台无疑是应对安全威胁的得力助手。如果你也在为CVE-2023-44487或其他漏洞头疼,不妨试试。
HTTP/2 中的漏洞CVE-2023-44487
2301_80115097的博客
10-19 2万+
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。需要说明的是,Nginx 1.19.7 及其之后版本是通过。
最新 HTTP/2 漏洞曝光,直指 Kubernetes!
优快云资讯
09-30 2754
在这个数据、应用横行的时代,漏洞的出现早已屡见不鲜。在尚未造成大面积危害之前,我们该如何做好防御措施?或许从过往经常发生漏洞的事件中我们能够得到一些启发。 近日,Netflix、Google 及 CERT/CC 披露了 HTTP/2 相关的 8 个安全漏洞,就连用来打造 Kubernetes 的 Go 语言也受到其中两个漏洞的波及,导致 Kubernetes 所有版本都受到相关漏洞影响,可...
记一次解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)过程
weixin_43929663的博客
12-20 5226
由于甲方等保测评时漏洞扫描,爆出Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487),高危漏洞需要紧急修复。
HTTP/2 资源管理错误漏洞(CVE-2019-9513)脆弱性分析报表修复
热门推荐
懂哥的博客
03-12 2万+
一、概述 nginx 1.16.1 稳定版和 nginx 1.17.3 主线版发布 修复安全问题 nginx 1.17.3 安全:当使用 HTTP/2 时,客户端可能会导致过多的内存消耗和 CPU 使用 (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) Bugfix:使用 gzipping 时 "zero size buf" 警告可能会出现在日志中...
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 1万+
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
web服务器/中间件漏洞系列2weblogic漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
11-29 5766
前言: 漏洞环境使用vulhub docker一键搭建,利用工具包括burp suite,kali等。 weblogic简介: ​ WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 ​ WebLogic Server具有开发和部署关键任务电子商务Web应用系统 所需的多种特色和优势,包括:可拓展性、可靠性、体系.
HTTP/2新型漏洞“MadeYouReset“曝光:可发动大规模DoS攻击
athink_cn的博客
08-15 895
研究人员发现HTTP/2协议新型漏洞"MadeYouReset"(CVE-2025-8671),可绕过现有防护发动大规模DoS攻击,影响Apache Tomcat、F5 BIG-IP等多款产品。该漏洞利用协议规范与实现的不匹配,通过精心构造的帧触发服务器主动重置流,完全绕过Rapid Reset防护措施,导致服务拒绝甚至系统崩溃。
漏洞CVE-2023-44487 HTTP2
zkaqlaoniao的博客
10-31 2886
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
CVE-2023-44487 HTTP2漏洞
hackzkaq的博客
11-02 4612
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
CERT/CC警告:新型HTTP/2漏洞“MadeYouReset“恐致全球服务器遭DDoS攻击瘫痪
FreeBuf_的博客
08-15 758
HTTP/2漏洞MadeYouReset可致服务器遭DDoS瘫痪,厂商紧急修复。
新型 HTTP/2 “MadeYouReset” 漏洞可发起大规模 DoS 攻击
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-15 768
摘要:研究人员发现HTTP/2协议存在新型DoS攻击漏洞"MadeYouReset"(CVE-2025-8671),影响Apache Tomcat、F5 BIG-IP等多款产品。该漏洞通过触发服务器发送RST_STREAM帧,可绕过现有防护机制并发起大规模攻击。同时,HTTP/1.1协议也被曝出新型请求走私漏洞(0.CL变体),使数百万网站面临风险。专家指出,这些漏洞凸显了现代协议安全面临的挑战,建议全面升级至HTTP/2及以上版本以消除协议歧义问题。
Node.js HTTP/2 CONTINUATION 拒绝服务漏洞CVE-2024-27983)
weixin_46356409的博客
04-07 1231
HTTP/2的标头(Header)和HTTP/1.x的请求头(Request Header)在概念上是类似的,它们都包含了在HTTP请求和响应中传输的元数据。在HTTP/1.x中,请求头和响应头是以纯文本形式传输的,每个头部字段由一个名称和一个值组成,名称和值之间用冒号分隔。这意味着,从功能和用途的角度来看,HTTP/2的头部和HTTP/1.x的请求头是相似的。HTTP/1.x没有这个功能。HTTP/2HTTP/1.x(如HTTP/1.1)是互联网上用于传输网页和其他数据的两个主要版本的HTTP协议。
Nginx HTTP/2模块远程拒绝服务漏洞
罗彬桦的博客
08-25 1814
漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。 方案一: 升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告
爱国小白帽
06-30 8965
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 漏洞背景 2020年06月29日, 360CERT监测发现 apache 官方 发布了 Tomcat http/2 拒绝服务攻击 的风险通告,该漏洞编号为 CVE-2020-11996,漏洞等级:中危。 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Mic
被 DDoS 漏洞 ping 的 HTTP/2
ZY18923847290的博客
12-22 378
HTTP/2 -网络使用的 HTTP 网络协议的主要修订版 - 容易出现一系列拒绝服务问题。 Netflix 和谷歌的安全研究人员发现,各种 HTTP/2 实现在尝试处理异常流量时会受到几个不同的资源耗尽向量的影响。 任何问题都为不法分子创建了一种可能的机制,可以对支持 HTTP/2 通信的服务器发起分布式拒绝服务 (DDoS) 攻击。 一些供应商已经应用了补丁,建议运行支持技术的网站应用。 在没有可用补丁的情况下,或者在无法及时应用的情况下,建议用户暂停对 HTTP/2 的支持,以防万一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值