HTTP/1.1 memiliki celah desain fatal pada pemisahan batas permintaan yang memungkinkan serangan desync masal.
Mitigasi parsial seperti WAF dan downgrade HTTP/2 ke HTTP/1.1 hanya menyembunyikan masalah tanpa memperbaikinya.
Peneliti memperkenalkan toolkit open-source HTTP Request Smuggler v3.0 untuk mendeteksi perbedaan parser.
Berbagai varian serangan baru ditemukan, termasuk CL.0, 0.CL, TE.0, TE.TE, dan serangan berbasis header Expect.
Kasus nyata menunjukkan kompromi jutaan situs melalui desync di infrastruktur Cloudflare, Netlify, Akamai, dan lainnya.
Studi 0.CL dan Expect-based desync membuka serangan massal pada domain seperti T-Mobile, GitLab, dan Netlify CDN.
Desync endgame menegaskan bahwa kerentanan HTTP/1.1 akan terus muncul akibat kompleksitas dan ragam implementasi.
Solusi jangka panjang adalah menghentikan penggunaan upstream HTTP/1.1 dan beralih ke HTTP/2 atau lebih tinggi.
Jika terpaksa menggunakan HTTP/1.1, terapkan normalisasi, validasi, pemindaian teratur, dan nonaktifkan ulang pakai koneksi.
Get notified when new stories are published for "Berita Peretas 🇮🇩 Bahasa Indonesia"