Coding Lovers
یه مقاله مهم پیدا کردم که خالی از لطف نیست بدونیم. چرا نباید از HTTP 1.1 استفاده کرد و خطرناک است؟
این یک مقالهٔ پژوهشی مهم از James Kettle (مدیر تحقیقاتی PortSwigger) است که در اوت ۲۰۲۵ منتشر شد. در ادامه، خلاصهای از ایدههای کلیدی آن آمده است:
استدلال اصلی
پروتکل HTTP/1.1 ذاتاً ناامن است و مرتباً میلیونها وبسایت را در معرض تصاحب مخرب قرار میدهد. شش سال تلاش برای کاهش این مشکل فقط آن را پنهان کرده، اما موفق به حلش نشده است. مقاله استدلال میکند که HTTP/1.1 باید کنار گذاشته شود و برای ارتباطات upstream از HTTP/2 یا نسخههای جدیدتر استفاده شود.
نقص مرگبار
مرزهای درخواستها در HTTP/1.1 بسیار ضعیف هستند — درخواستها صرفاً روی اتصال TCP/TLS زیربنایی به هم چسبانده میشوند و هیچ جداکنندهٔ واقعی ندارند، ضمن اینکه چندین روش مختلف برای تعیین طول آنها وجود دارد.
وقتی reverse proxyها درخواستهای چند کاربر را روی اتصالهای مشترک عبور میدهند، یک اختلاف کوچک در parser بین سرور front-end و back-end به مهاجم اجازه میدهد دادهٔ مخرب را به ابتدای درخواست کاربران دیگر تزریق کند — که اغلب منجر به تصاحب کامل سایت میشود.
چرا راهکارهای فعلی شکست میخورند
سرورها و CDNها معمولاً ادعا میکنند از HTTP/2 پشتیبانی میکنند، اما در عمل درخواستهای HTTP/2 ورودی را برای انتقال upstream به HTTP/1.1 تبدیل (downgrade) میکنند و در نتیجه بیشتر مزایای امنیتی از بین میرود.
دفاعهای مبتنی بر WAF نیز از الگوهای regex استفاده میکنند که بهراحتی قابل دور زدن هستند و صرفاً «توهم امنیت» ایجاد میکنند.
کلاسهای جدید حمله معرفیشده
1. شناسایی اختلاف Parser
یک ابزار متنباز جدید به نام HTTP Request Smuggler v3.0 بهصورت سیستماتیک اختلافهای V-H (Visible-Hidden) و H-V (Hidden-Visible) بین parserهای front-end و back-end را بررسی میکند و امکان ایجاد desyncهای نوع CL.0 را فراهم میکند؛ حملاتی که WAFها معمولاً جلویشان را نمیگیرند.
2. حملات Desync نوع 0.CL
قبلاً تصور میشد این حملات قابل بهرهبرداری نیستند، چون باعث deadlock میشوند.
کلید فرار از deadlock در 0.CL پیدا کردن یک «early-response gadget» است — یعنی راهی برای وادار کردن back-end به پاسخ دادن قبل از دریافت کامل body.
یکی از نمونههای کشفشده:
درخواست مسیر /con روی IIS باعث فعال شدن یک رفتار قدیمی ویندوز میشود که پاسخ زودهنگام ایجاد میکند.
تکنیکی به نام «double-desync» دو درخواست را زنجیره میکند تا حملهٔ 0.CL را به یک حملهٔ عملیاتی و قابلاستفاده از نوع CL.0 تبدیل کند.
3. حملات Desync مبتنی بر Expect
هدر Expect: 100-continue درخواست HTTP را به یک فرآیند دو مرحلهای تبدیل میکند و مدیریت صحیح آن برای reverse proxyها بسیار پیچیده است.
مشخص شد که هم هدرهای Expect معمولی و هم نسخههای obfuscated آن میتوانند روی زیرساختهای بزرگ باعث desyncهای نوع 0.CL و CL.0 شوند.
یافتههای مهم در دنیای واقعی
Cloudflare:
یک desync از نوع H2.0 در زیرساخت داخلی Cloudflare بیش از ۲۴ میلیون وبسایت را در معرض تصاحب کامل قرار داد. مشکل ظرف چند ساعت patch شد و ۷۰۰۰ دلار bounty پرداخت شد.
Akamai CDN:
یک desync از نوع CL.0 از طریق هدر Expect مبهمشده (CVE-2025-32094) تعداد بسیار زیادی از سایتهای میزبانیشده روی Akamai را تحت تأثیر قرار داد.
در مجموع ۷۴ bounty جداگانه ثبت شد که مجموعاً ۲۲۱ هزار دلار پرداخت داشت و رفع کامل مشکل ۶۵ روز زمان برد.
Netlify:
یک آسیبپذیری CL.0 RQP باعث شد جریان مداومی از پاسخها از تمام وبسایتهای CDN نتلیفای ارسال شود و tokenهای احراز هویت و محتوای سایتهای ثالث افشا گردد.
همچنین سرویسهای:
T-Mobile
GitLab
LastPass (auth.lastpass.com)
نیز از طریق desyncهای مبتنی بر Expect مورد نفوذ قرار گرفتند.
مجموع bountyهای این تحقیق: بیش از ۳۵۰ هزار دلار
راهحل
HTTP/2 یک پروتکل باینری است که دربارهٔ طول پیامها هیچ ابهامی ندارد؛ به همین دلیل احتمال بروز آسیبپذیریهای desync در آن بسیار کمتر است.
اما downgrade کردن HTTP/2 — یعنی زمانی که front-end با کلاینت HTTP/2 صحبت میکند ولی upstream را به HTTP/1.1 بازنویسی میکند — تقریباً مزیت امنیتی خاصی ندارد و حتی سایتها را بیشتر در معرض خطر قرار میدهد.
فروشندهها و سرویسهایی که از HTTP/2 در upstream پشتیبانی میکنند:
HAProxy
F5
Google Cloud
Imperva
Apache (بهصورت آزمایشی)
Cloudflare (هرچند هنوز در داخل از HTTP/1 استفاده میکند)
سرویسهایی که هنوز upstream HTTP/2 ندارند:
nginx
Akamai
CloudFront
Fastly
پیام پایانی مقاله:
و تنها راهحل واقعی این است که HTTP/1.1 در ارتباطات upstream کاملاً حذف شود.
منبع:
https://portswigger.net/research/http1-must-die
استدلال اصلی
پروتکل HTTP/1.1 ذاتاً ناامن است و مرتباً میلیونها وبسایت را در معرض تصاحب مخرب قرار میدهد. شش سال تلاش برای کاهش این مشکل فقط آن را پنهان کرده، اما موفق به حلش نشده است. مقاله استدلال میکند که HTTP/1.1 باید کنار گذاشته شود و برای ارتباطات upstream از HTTP/2 یا نسخههای جدیدتر استفاده شود.
نقص مرگبار
مرزهای درخواستها در HTTP/1.1 بسیار ضعیف هستند — درخواستها صرفاً روی اتصال TCP/TLS زیربنایی به هم چسبانده میشوند و هیچ جداکنندهٔ واقعی ندارند، ضمن اینکه چندین روش مختلف برای تعیین طول آنها وجود دارد.
وقتی reverse proxyها درخواستهای چند کاربر را روی اتصالهای مشترک عبور میدهند، یک اختلاف کوچک در parser بین سرور front-end و back-end به مهاجم اجازه میدهد دادهٔ مخرب را به ابتدای درخواست کاربران دیگر تزریق کند — که اغلب منجر به تصاحب کامل سایت میشود.
چرا راهکارهای فعلی شکست میخورند
سرورها و CDNها معمولاً ادعا میکنند از HTTP/2 پشتیبانی میکنند، اما در عمل درخواستهای HTTP/2 ورودی را برای انتقال upstream به HTTP/1.1 تبدیل (downgrade) میکنند و در نتیجه بیشتر مزایای امنیتی از بین میرود.
دفاعهای مبتنی بر WAF نیز از الگوهای regex استفاده میکنند که بهراحتی قابل دور زدن هستند و صرفاً «توهم امنیت» ایجاد میکنند.
کلاسهای جدید حمله معرفیشده
1. شناسایی اختلاف Parser
یک ابزار متنباز جدید به نام HTTP Request Smuggler v3.0 بهصورت سیستماتیک اختلافهای V-H (Visible-Hidden) و H-V (Hidden-Visible) بین parserهای front-end و back-end را بررسی میکند و امکان ایجاد desyncهای نوع CL.0 را فراهم میکند؛ حملاتی که WAFها معمولاً جلویشان را نمیگیرند.
2. حملات Desync نوع 0.CL
قبلاً تصور میشد این حملات قابل بهرهبرداری نیستند، چون باعث deadlock میشوند.
کلید فرار از deadlock در 0.CL پیدا کردن یک «early-response gadget» است — یعنی راهی برای وادار کردن back-end به پاسخ دادن قبل از دریافت کامل body.
یکی از نمونههای کشفشده:
درخواست مسیر /con روی IIS باعث فعال شدن یک رفتار قدیمی ویندوز میشود که پاسخ زودهنگام ایجاد میکند.
تکنیکی به نام «double-desync» دو درخواست را زنجیره میکند تا حملهٔ 0.CL را به یک حملهٔ عملیاتی و قابلاستفاده از نوع CL.0 تبدیل کند.
3. حملات Desync مبتنی بر Expect
هدر Expect: 100-continue درخواست HTTP را به یک فرآیند دو مرحلهای تبدیل میکند و مدیریت صحیح آن برای reverse proxyها بسیار پیچیده است.
مشخص شد که هم هدرهای Expect معمولی و هم نسخههای obfuscated آن میتوانند روی زیرساختهای بزرگ باعث desyncهای نوع 0.CL و CL.0 شوند.
یافتههای مهم در دنیای واقعی
Cloudflare:
یک desync از نوع H2.0 در زیرساخت داخلی Cloudflare بیش از ۲۴ میلیون وبسایت را در معرض تصاحب کامل قرار داد. مشکل ظرف چند ساعت patch شد و ۷۰۰۰ دلار bounty پرداخت شد.
Akamai CDN:
یک desync از نوع CL.0 از طریق هدر Expect مبهمشده (CVE-2025-32094) تعداد بسیار زیادی از سایتهای میزبانیشده روی Akamai را تحت تأثیر قرار داد.
در مجموع ۷۴ bounty جداگانه ثبت شد که مجموعاً ۲۲۱ هزار دلار پرداخت داشت و رفع کامل مشکل ۶۵ روز زمان برد.
Netlify:
یک آسیبپذیری CL.0 RQP باعث شد جریان مداومی از پاسخها از تمام وبسایتهای CDN نتلیفای ارسال شود و tokenهای احراز هویت و محتوای سایتهای ثالث افشا گردد.
همچنین سرویسهای:
T-Mobile
GitLab
LastPass (auth.lastpass.com)
نیز از طریق desyncهای مبتنی بر Expect مورد نفوذ قرار گرفتند.
مجموع bountyهای این تحقیق: بیش از ۳۵۰ هزار دلار
راهحل
HTTP/2 یک پروتکل باینری است که دربارهٔ طول پیامها هیچ ابهامی ندارد؛ به همین دلیل احتمال بروز آسیبپذیریهای desync در آن بسیار کمتر است.
اما downgrade کردن HTTP/2 — یعنی زمانی که front-end با کلاینت HTTP/2 صحبت میکند ولی upstream را به HTTP/1.1 بازنویسی میکند — تقریباً مزیت امنیتی خاصی ندارد و حتی سایتها را بیشتر در معرض خطر قرار میدهد.
فروشندهها و سرویسهایی که از HTTP/2 در upstream پشتیبانی میکنند:
HAProxy
F5
Google Cloud
Imperva
Apache (بهصورت آزمایشی)
Cloudflare (هرچند هنوز در داخل از HTTP/1 استفاده میکند)
سرویسهایی که هنوز upstream HTTP/2 ندارند:
nginx
Akamai
CloudFront
Fastly
پیام پایانی مقاله:
«حملات desync بیشتری همیشه در راه هستند»
و تنها راهحل واقعی این است که HTTP/1.1 در ارتباطات upstream کاملاً حذف شود.
منبع:
https://portswigger.net/research/http1-must-die
❤3
باورم نمیشه
یه باگ لینوکس که فکر کنم چند ماه پیش کشف شد ( تمام لینوکس هارو در بر میگیره ) که باهاش میشه بدون هیچ چیزی به دسترسی root رسید.
فقط یه اسکریپت پایتونه که ران کردنش باعث میشه به root دسترسی مستقیم پیدا کنین ...!
یه باگ لینوکس که فکر کنم چند ماه پیش کشف شد ( تمام لینوکس هارو در بر میگیره ) که باهاش میشه بدون هیچ چیزی به دسترسی root رسید.
فقط یه اسکریپت پایتونه که ران کردنش باعث میشه به root دسترسی مستقیم پیدا کنین ...!
❤3
Forwarded from A.Wolver.P
Media is too big
VIEW IN TELEGRAM
لینک یوتیوب جادی:
https://youtu.be/0GUEoWEDqlo
فیلم کم حجمشم همینجا فرستادم که بتونین ببینین اگه یوتیوب سخت براتون باز میشه
https://youtu.be/0GUEoWEDqlo
فیلم کم حجمشم همینجا فرستادم که بتونین ببینین اگه یوتیوب سخت براتون باز میشه
❤4
Media is too big
VIEW IN TELEGRAM
فیلم کم حجمش، اگه دسترسی به یوتیوب ندارین ...
یه ویدیو رو تقریبا دو ماه پیش قبل از قطع شدن اینترنت گذاشته بودم روی یوتوب، از اون موقع پرایوت بود
فردا شب پابلیک میشه ساعت 8 شب
بنظرم سکوت رو کم کم بشکنیم بهتره، با هیچ کاری نکردن چیزی درست نمیشه
فردا شب پابلیک میشه ساعت 8 شب
بنظرم سکوت رو کم کم بشکنیم بهتره، با هیچ کاری نکردن چیزی درست نمیشه
❤9👎8
دیگه امنیت نداریم بخدا
خیلی مراقب پروژه ها و سیستم هاتون باشین !!!
خیلی مراقب پروژه ها و سیستم هاتون باشین !!!
یک ویروس جدید با احتمال یکششم، سیستمهای ایران یا اسرائیل را پاک میکند
یک ویروس تازه کشفشده اسکریپتی را اجرا میکند که ۱ در ۶ شانس دارد سیستمهای شناساییشده در اسرائیل یا ایران را بهطور کامل پاک کند، در حالی که عمداً ماشینهایی با محیط زبان روسی را نادیده میگیرد.
هکرها کدهای مخرب را به دهها مخزن متنباز، از جمله کتابخانه پایتون Mistral AI و بیش از ۱۵۰ بسته دیگر، تزریق کردند.
به محض اینکه یک توسعهدهنده کتابخانه آلوده را در پروژه خود استفاده کند یا وابستگیها را بهروزرسانی نماید، ویروس فعال شده و بهطور مخفیانه توکنهای محرمانه و کلیدهای دسترسی به زیرساختهای ابری را سرقت میکند.
👍2😢2
Coding Lovers
دیگه امنیت نداریم بخدا خیلی مراقب پروژه ها و سیستم هاتون باشین !!! یک ویروس جدید با احتمال یکششم، سیستمهای ایران یا اسرائیل را پاک میکند یک ویروس تازه کشفشده اسکریپتی را اجرا میکند که ۱ در ۶ شانس دارد سیستمهای شناساییشده در اسرائیل یا ایران را بهطور…
دیگه فکر کنم بیشترشون رفع شدن
زیاد توی پایتون خرابکاری نکردن
بیشتر توی npm رو ترکوندن
زیاد توی پایتون خرابکاری نکردن
بیشتر توی npm رو ترکوندن
Coding Lovers
یه ویدیو رو تقریبا دو ماه پیش قبل از قطع شدن اینترنت گذاشته بودم روی یوتوب، از اون موقع پرایوت بود فردا شب پابلیک میشه ساعت 8 شب بنظرم سکوت رو کم کم بشکنیم بهتره، با هیچ کاری نکردن چیزی درست نمیشه
دلیل اینکه هنوز ویدیو رو نزاشتم چون گوشیم ترکید و ندارم الان، با کامپیوتر هم نمیتونم وارد اکانتم بشم چون پسورد شو فراموش کردم :)
💔11
توی این ویدیو با قابلیت Popover API در HTML آشنا میشی :)
این قابلیت باعث میشه خیلی بهینه تر بعضی کارهایی که تا الان با JS انجام میدادیم رو انجام بدیم. و البته ساده تر...
📺 اینجا تماشا کنید:
https://youtu.be/FBCOtw1i3UY
این قابلیت باعث میشه خیلی بهینه تر بعضی کارهایی که تا الان با JS انجام میدادیم رو انجام بدیم. و البته ساده تر...
📺 اینجا تماشا کنید:
https://youtu.be/FBCOtw1i3UY
❤3
Forwarded from Pavel Durov (Pavel Durov)
This media is not supported in your browser
VIEW IN TELEGRAM
🛠 Start building!
Please open Telegram to view this post
VIEW IN TELEGRAM
Pavel Durov
یه گروه بسازید فقط هوش مصنوعی ها توش حرف بزنن باهم، ai کامیونیتی
😁5
اخبار ضد و نقیض از هر طرف میاد و فقط حالمون رو بدتر میکنه
بهترین راه اینه که خیلیم به اخبار توجه نکنید و کلا پیگیرش نباشید
بهترین راه اینه که خیلیم به اخبار توجه نکنید و کلا پیگیرش نباشید
👍5
امروز یه جمله خیلی قشنگ شنیدم، خواستم شماهم بشنوین...
اوضاع ایران مثل یه جاده دهکیلومتریه که سراپا مه گرفته. نه آخرش پیداست، نه معلومه پشت این ابر چی منتظرمونه.
یه راه اینه که کنار جاده بمونیم و چشم بدوزیم به افق، شاید مه خودش برطرف شه. ولی راه دیگه اینه که حرکت کنیم؛ آروم، با احتیاط، بهاندازه همون بینایی کمی که داریم. قدم به قدم. متر به متر. تا این ده کیلومتر تموم بشه و انتهای جاده از دل مه بزنه بیرون.
اوضاع ایران مثل یه جاده دهکیلومتریه که سراپا مه گرفته. نه آخرش پیداست، نه معلومه پشت این ابر چی منتظرمونه.
یه راه اینه که کنار جاده بمونیم و چشم بدوزیم به افق، شاید مه خودش برطرف شه. ولی راه دیگه اینه که حرکت کنیم؛ آروم، با احتیاط، بهاندازه همون بینایی کمی که داریم. قدم به قدم. متر به متر. تا این ده کیلومتر تموم بشه و انتهای جاده از دل مه بزنه بیرون.
غرق مِه نشید، و نزارید نا امیدتون کنه ✨️
👍5💔1
دیگه واقعا هوش مصنوعیا رو نریزید توی محتواها
لحن هوش مصنوعی خیلی تابلوعه، چندتا کانال تحلیل اقتصادی رو دیدم همشون پست هاشون رو هوش مصنوعی نوشته بود
خب حداقل بگو هوش مصنوعی تحلیل کرده
خیلی خوب میشه کلا هرجایی که هوش مصنوعی کاری میکنه رو اعلام کنیم که هوش مصنوعی کرده تا شفاف سازی بشه
لحن هوش مصنوعی خیلی تابلوعه، چندتا کانال تحلیل اقتصادی رو دیدم همشون پست هاشون رو هوش مصنوعی نوشته بود
خب حداقل بگو هوش مصنوعی تحلیل کرده
خیلی خوب میشه کلا هرجایی که هوش مصنوعی کاری میکنه رو اعلام کنیم که هوش مصنوعی کرده تا شفاف سازی بشه
👍7
Coding Lovers
ماهم رفتیم قاطی باقالیا
اینجا باهم بزرگ شدیما، از شروع برنامه نویسی، ترک تحصیل، مهاجرت، کار و حالا هم... :)
خیلیاتون از همون اول بودید و هنوزم هستید، در هر شرایطی زندگی جریان داره و قشنگیشم همینه
دوستون دارم ❤️
خیلیاتون از همون اول بودید و هنوزم هستید، در هر شرایطی زندگی جریان داره و قشنگیشم همینه
دوستون دارم ❤️
3❤11
Coding Lovers
ماهم رفتیم قاطی باقالیا
از اتاق فرمان اعلام کردن "قاطی باقالیا" اشتباهه و درستش "قاطی مرغا" هست
5👍3