HTTP/1.1 снова под ударом: уязвимость угрожает миллионам сайтов

Екатерина Быстрова 08 Августа 2025 - 12:57

...

HTTP/1.1 снова под ударом: уязвимость угрожает миллионам сайтов

Исследователи из PortSwigger снова подняли тревогу: устаревший протокол HTTP/1.1 по-прежнему таит в себе серьёзную уязвимость, из-за которой под ударом оказываются миллионы сайтов. Несмотря на то что о проблеме известно уже с 2019 года, корневая причина так и не устранена.

Речь идёт о так называемых HTTP desync-атаках — когда злоумышленник отправляет специально оформленные запросы, которые сервер и прокси-системы интерпретируют по-разному.

В итоге можно «впихнуть» вредоносный запрос, который обходит защиту и выполняется на бэкенде как нормальный. Такие атаки используют расхождения в обработке HTTP-заголовков — особенно в том, где один запрос заканчивается и начинается следующий. И эта путаница заложена в саму архитектуру HTTP/1.1.

Что ещё хуже — даже те меры защиты, которые разработчики вводили за последние шесть лет, исследователям удавалось обойти. И не один раз.

Команда PortSwigger опубликовала новую волну исследований, показав, что десинхронизация до сих пор работает — и позволяет атаковать даже крупные CDN и десятки миллионов сайтов. Они призывают к радикальным мерам: полностью отказаться от HTTP/1.1. Кампания даже получила громкое название — «HTTP/1.1 Must Die: The Desync Endgame».

По словам специалистов, просто включить HTTP/2 на внешних серверах недостаточно. Уязвимость кроется глубже — в соединениях между реверс-прокси и самими серверами приложений. Если эти внутренние звенья всё ещё используют HTTP/1.1, атака возможна.

Что делать? Вот рекомендации исследователей:

Внедрить поддержку HTTP/2 не только на границе, но и на всех внутренних каналах между прокси и сервером;
Убедиться, что backend умеет работать с HTTP/2;
Если отказаться от HTTP/1.1 пока не получается — включить проверку и нормализацию HTTP-запросов на фронте;
По возможности отключить повторное использование соединений на промежуточных участках;
И, конечно, поговорить с поставщиками решений: поддерживают ли они безопасную работу через HTTP/2.

Кроме того, в сообществе уже появились инструменты, которые помогут проверять свои ресурсы на уязвимость — например, HTTP Request Smuggler v3.0 и HTTP Hacker. Эти утилиты пригодятся для регулярных сканирований и укрепления защиты.

Главный вывод: пора уходить от HTTP/1.1. Чем дольше индустрия тянет с переходом на современные протоколы, тем больше шансов, что уязвимости продолжат использовать. И никакие заплатки здесь уже не помогут.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 10:31

Информационные войны Общее

Европейский ЦОД погасил серверы и заодно доверие российских клиентов

Европейские дата-центры внезапно напомнили рынку старую истину: даже самая надежная инфраструктура работает ровно до тех пор, пока кто-то не выключит рубильник. В начале июня без предупреждения было обесточено оборудование в нидерландском ЦОДе nLighten, где размещались серверы компании MIRhosting.

Под удар, как уточняет «Коммерсант», попали десятки хостинг-провайдеров и VPN-сервисов, которыми пользуются в том числе российские клиенты. Среди пострадавших оказались VDSina, McHost и ряд других известных игроков рынка.

Причиной кризиса стали события несколькими днями ранее. Нидерландская финансово-следственная служба FIOD провела рейды в дата-центрах, задержала двух человек и изъяла более 800 серверов по подозрению в нарушении санкционного режима в отношении России.

По версии следствия, часть инфраструктуры могла использоваться для поддержки российских кибератак и операций по распространению дезинформации.

После этого руководство nLighten приняло радикальное решение — отключить питание стоек MIRhosting. Причем без предварительного уведомления клиентов. В результате вместе с рабочими сервисами оказались недоступны и резервные копии данных, которые находились на тех же обесточенных серверах.

Последствия быстро стали заметны. По оценкам участников рынка, только у одного из пострадавших провайдеров перестали работать не менее 15 тысяч сайтов. Кроме того, сбои затронули несколько популярных VPN-сервисов. Некоторым операторам пришлось в экстренном порядке переносить инфраструктуру на новые площадки и восстанавливать сервисы из резервных копий.

Собеседники рынка отмечают, что история стала наглядным примером опасности так называемой единой точки отказа. Когда дата-центр, посредник и конечный провайдер оказываются связаны в одной цепочке, проблемы одного участника автоматически превращаются в проблемы всех остальных.

Инцидент может иметь и более долгосрочные последствия. Эксперты полагают, что часть российских клиентов теперь начнет активнее диверсифицировать инфраструктуру и распределять серверы между разными странами и провайдерами. Под вопросом оказался и статус европейских площадок как нейтральной территории для размещения сервисов.

Впрочем, участники рынка не ждут катастрофы для VPN-индустрии. По их словам, альтернативных юрисдикций и площадок в мире по-прежнему достаточно. Но июньское отключение уже стало одним из самых громких инфраструктурных инцидентов года и хорошим напоминанием о том, что резервировать нужно не только данные, но и саму инфраструктуру.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!