HTTP/1.1 снова под ударом: уязвимость угрожает миллионам сайтов
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

HTTP/1.1 снова под ударом: уязвимость угрожает миллионам сайтов

Екатерина Быстрова 08 Августа 2025 - 12:57
...
HTTP/1.1 снова под ударом: уязвимость угрожает миллионам сайтов

Исследователи из PortSwigger снова подняли тревогу: устаревший протокол HTTP/1.1 по-прежнему таит в себе серьёзную уязвимость, из-за которой под ударом оказываются миллионы сайтов. Несмотря на то что о проблеме известно уже с 2019 года, корневая причина так и не устранена.

Речь идёт о так называемых HTTP desync-атаках — когда злоумышленник отправляет специально оформленные запросы, которые сервер и прокси-системы интерпретируют по-разному.

В итоге можно «впихнуть» вредоносный запрос, который обходит защиту и выполняется на бэкенде как нормальный. Такие атаки используют расхождения в обработке HTTP-заголовков — особенно в том, где один запрос заканчивается и начинается следующий. И эта путаница заложена в саму архитектуру HTTP/1.1.

Что ещё хуже — даже те меры защиты, которые разработчики вводили за последние шесть лет, исследователям удавалось обойти. И не один раз.

Команда PortSwigger опубликовала новую волну исследований, показав, что десинхронизация до сих пор работает — и позволяет атаковать даже крупные CDN и десятки миллионов сайтов. Они призывают к радикальным мерам: полностью отказаться от HTTP/1.1. Кампания даже получила громкое название — «HTTP/1.1 Must Die: The Desync Endgame».

По словам специалистов, просто включить HTTP/2 на внешних серверах недостаточно. Уязвимость кроется глубже — в соединениях между реверс-прокси и самими серверами приложений. Если эти внутренние звенья всё ещё используют HTTP/1.1, атака возможна.

Что делать? Вот рекомендации исследователей:

  • Внедрить поддержку HTTP/2 не только на границе, но и на всех внутренних каналах между прокси и сервером;
  • Убедиться, что backend умеет работать с HTTP/2;
  • Если отказаться от HTTP/1.1 пока не получается — включить проверку и нормализацию HTTP-запросов на фронте;
  • По возможности отключить повторное использование соединений на промежуточных участках;
  • И, конечно, поговорить с поставщиками решений: поддерживают ли они безопасную работу через HTTP/2.

Кроме того, в сообществе уже появились инструменты, которые помогут проверять свои ресурсы на уязвимость — например, HTTP Request Smuggler v3.0 и HTTP Hacker. Эти утилиты пригодятся для регулярных сканирований и укрепления защиты.

Главный вывод: пора уходить от HTTP/1.1. Чем дольше индустрия тянет с переходом на современные протоколы, тем больше шансов, что уязвимости продолжат использовать. И никакие заплатки здесь уже не помогут.

Следующая главная новость »
AM LiveУдалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Telega запустила тест платной подписки для доступа без ожидания
Екатерина Быстрова 07 Мая 2026 - 20:19
Домашние пользователи Системы контентной веб-фильтрации
Telega запустила тест платной подписки для доступа без ожидания

Telega, отечественный альтернативный клиент Telegram, начал тестировать платную подписку «Телега Плюс». Как рассказали в сервисе «Коммерсанту», она даст доступ к приложению «без ожидания». На первом этапе подписку предложат 1 млн пользователей из списка ожидания.

Стоимость составит 99 рублей в месяц, а для новых пользователей первый месяц будет стоить 1 рубль.

В Telega объясняют запуск высоким интересом к приложению и необходимостью постепенно расширять серверные мощности. По словам представителей сервиса, число желающих подключиться оказалось выше прогнозов, поэтому доступ новым пользователям решили открывать поэтапно.

Ранее Telega уже приостанавливала регистрацию новых пользователей — в марте 2026 года сервис объяснял это резким ростом интереса и желанием сохранить стабильную работу приложения.

После блокировки Telegram аудитория Telega, по данным «Ъ», быстро выросла: в марте месячный охват приложения увеличился на 160% и почти достиг 7,5 млн пользователей.

При этом вокруг приложения остаются вопросы. В апреле Apple начала помечать Telega как вредоносное приложение, а iOS перестала запускать уже установленную версию и предлагала удалить её с устройства. Позже приложение исчезло из App Store и на момент публикации остаётся недоступным в магазине.

AM LiveУдалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!
В перечень КИИ вошли системы шифрования сигнала для телевещателей
Новость
В перечень КИИ вошли системы шифрования сигнала для телевеща...
Google закрыла 129 уязвимостей в Android, включая уже используемую 0-day
Новость
Google закрыла 129 уязвимостей в Android, включая уже исполь...
Российское ПО с начала года подорожало на 10-20%
Новость
Российское ПО с начала года подорожало на 10-20%

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.