HTTP/2 中的漏洞

最新推荐文章于 2025-03-20 10:01:25 发布
最新推荐文章于 2025-03-20 10:01:25 发布
阅读量5.4k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: Positive Technologies MaxPatrol VM 漏洞 文章标签: http 网络协议 网络 安全 web安全 人工智能 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ptsecurity/article/details/133780956

另一个热门漏洞是 CVE-2023-44487

该漏洞与 HTTP/2 协议实施中的一个缺陷有关,可用于实施 DDoS 攻击。使用该漏洞的攻击被命名为 HTTP/2 快速重置。

为什么它很危险

要利用该漏洞,攻击者需要在 HTTP/2 会话中打开大量请求,然后在不等待服务器响应的情况下,使用RST_STREAM 请求中断连接。利用该漏洞可以在客户端负载最小的情况下,向服务器发送大量请求流,从而导致系统拒绝服务。谷歌和 Cloudflare 的产品和服务中也出现过类似的攻击。

❗️要修复 

最低0.47元/天 解锁文章

200万优质内容无限畅学
【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 7535
Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
nginx http/2模块漏洞修复记录
hard_refuse_back的博客
10-25 2005
网站的nginx http/2模块安全漏洞修复记录 解决方案:将旧版本1.14.2升至安全版本1.16.1 1.nginx旧版本配置查看 [root@node2 ~]# nginx -V nginx version: nginx/1.14.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2s 28 May 2019 TLS SNI support enabled configure argumen
漏洞验证:HTTP/2的快速重置DOS攻击(CVE-2023-44487
weixin_53523921的博客
10-24 3723
攻击者就可以利用该漏洞,通过持续的HEADERS、RST_STREAM帧组合,来消耗 服务器 资源,进而影响 服务器 正常请求的处理,造成 DDoS 攻击。
最新 HTTP/2 漏洞曝光,直指 Kubernetes!
优快云资讯
09-30 2654
在这个数据、应用横行的时代,漏洞的出现早已屡见不鲜。在尚未造成大面积危害之前,我们该如何做好防御措施?或许从过往经常发生漏洞的事件中我们能够得到一些启发。 近日,Netflix、Google 及 CERT/CC 披露了 HTTP/2 相关的 8 个安全漏洞,就连用来打造 Kubernetes 的 Go 语言也受到其中两个漏洞的波及,导致 Kubernetes 所有版本都受到相关漏洞影响,可...
HTTP/2 中的漏洞CVE-2023-44487
2301_80115097的博客
10-19 2万+
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。需要说明的是,Nginx 1.19.7 及其之后版本是通过。
CVE-2023-44487 HTTP2漏洞
hackzkaq的博客
11-02 4271
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
漏洞CVE-2023-44487 HTTP2
zkaqlaoniao的博客
10-31 2777
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
S2-016/017漏洞工具 struts漏洞
02-26
本工具可以详细测试S2-016/017漏洞的资源,有助于您更深层的了解struts!
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围====...
记一次解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)过程
weixin_43929663的博客
12-20 4162
由于甲方等保测评时漏洞扫描,爆出Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487),高危漏洞需要紧急修复。
HTTP/2 资源管理错误漏洞(CVE-2019-9513)脆弱性分析报表修复
热门推荐
懂哥的博客
03-12 2万+
一、概述 nginx 1.16.1 稳定版和 nginx 1.17.3 主线版发布 修复安全问题 nginx 1.17.3 安全:当使用 HTTP/2 时,客户端可能会导致过多的内存消耗和 CPU 使用 (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) Bugfix:使用 gzipping 时 "zero size buf" 警告可能会出现在日志中...
被 DDoS 漏洞 ping 的 HTTP/2
ZY18923847290的博客
12-22 353
HTTP/2 -网络使用的 HTTP 网络协议的主要修订版 - 容易出现一系列拒绝服务问题。 Netflix 和谷歌的安全研究人员发现,各种 HTTP/2 实现在尝试处理异常流量时会受到几个不同的资源耗尽向量的影响。 任何问题都为不法分子创建了一种可能的机制,可以对支持 HTTP/2 通信的服务器发起分布式拒绝服务 (DDoS) 攻击。 一些供应商已经应用了补丁,建议运行支持技术的网站应用。 在没有可用补丁的情况下,或者在无法及时应用的情况下,建议用户暂停对 HTTP/2 的支持,以防万一。
HTTP请求走私漏洞简单分析
Aiwin的博客
07-30 1495
HTTP请求走私漏洞简单分析
HTTP请求走私漏洞
Atkx's Blog
04-11 6307
这里写自定义目录标题 [RoarCTF 2019]Easy Calc calc.php代码 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
Windows资源管理器崩溃漏洞
weixin_30321449的博客
01-15 250
无关紧要的小漏洞,用来防止文件夹被删还是有点儿用的..(不过如果把文件藏里面可能会悲剧..) 漏洞描述:删除特定文件夹时导致资源管理器崩溃 测试版本:6.1.7601.17514 测试环境:Windows7 SP1 测试方法: 进入命令提示符 mkdir c:\test cd c:\test mkdir ....\ 好了下面进入资源管理器试着删除C:\te...
CVE-2023-44487修复
最新发布
m0_66820433的博客
03-20 3331
CVE-2023-44487HTTP/2 协议中的一个高危拒绝服务漏洞,攻击者通过快速发送并取消请求(HEADERS 和 RST_STREAM 帧组合),导致服务器资源耗尽。
【python修复bug】—— HTTP_2 网站超时问题的解决方案
xiaolinyui的博客
01-03 1096
在进行网络数据爬取时,使用 Python 程序访问支持 HTTP/2 协议的网站时,有时会遇到超时问题。这可能会导致数据获取不完整,影响爬虫程序的正常运行。在使用 Python 编写爬虫程序爬取 HTTP/2 网站时出现超时问题,可以通过设置下载超时时间、检查爬虫代码、使用代理、更新 Python 版本等方法来解决问题。如果仍然无法解决,建议与网站管理员联系,寻求他们的帮助和反馈。
Apache两个解析漏洞复现及防御方法
阿道夫的博客
01-28 3650
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
CVE-2023-44487漏洞修复
单调枯燥的CC的博客
04-28 5945
CVE-2023-44487漏洞修复
HTTP/2拒绝服务漏洞CVE-2023-44487)解决办法
12-11
HTTP/2拒绝服务漏洞CVE-2023-44487)是一个严重的安全漏洞,影响了许多使用HTTP/2协议的服务器。该漏洞允许攻击者通过发送特制的HTTP/2请求来耗尽服务器资源,从而导致拒绝服务(DoS)攻击。以下是一些解决该漏洞的方法: 1. **升级服务器软件**: - 立即更新您的Web服务器软件(如Nginx、Apache、IIS等)到最新版本。大多数主流服务器软件已经发布了修复该漏洞的补丁。 - 确保所有相关的库和依赖项也已更新到最新版本。 2. **配置HTTP/2限制**: - 在服务器配置中限制HTTP/2连接的最大并发流数量。例如,在Nginx中,可以使用`http2_max_concurrent_streams`指令来限制并发流的数量。 - 限制请求头和请求体的最大大小,以防止过大的请求消耗过多资源。 3. **启用流量控制**: - 确保服务器启用了HTTP/2的流量控制机制。这可以帮助防止单个连接占用过多资源。 4. **使用防火墙和入侵检测系统**: - 配置防火墙规则,限制来自单个IP地址的连接数量。 - 使用入侵检测系统(IDS)来监控和阻止异常流量模式。 5. **监控和日志记录**: - 实施全面的监控和日志记录,以便及时发现和响应异常活动。 - 定期审查日志文件,查找潜在的恶意活动。 6. **安全测试**: - 进行定期的安全测试和漏洞扫描,以识别和修复潜在的安全问题。 通过采取这些措施,可以有效减少HTTP/2拒绝服务漏洞带来的风险,并保护您的服务器免受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值