隐藏的HTTP 2
描述:隐藏http 2
支持HTTP/2的客户端通常默认为HTTP/1.1,并且如果服务器在TLS握手期间通过ALPN字段进行广告支持,则仅使用HTTP/2。
一些确实支持HTTP/2的服务器错误配置的服务器无法宣传这一点,使其似乎仅支持HTTP/1.1。这可能会导致人们忽略可行的HTTP/2攻击表面和缺少相关的漏洞,例如基于HTTP/2降级的请求走私。
修复:隐藏http 2
如果要使用http/2,请确保将服务器配置为正确广告。否则,考虑完全禁用IT服务器端以减少不必要的攻击表面。
参考
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x01000500
类型索引(十进制)
16778496