隐藏的HTTP 2

描述：隐藏http 2

支持HTTP/2的客户端通常默认为HTTP/1.1，并且如果服务器在TLS握手期间通过ALPN字段进行广告支持，则仅使用HTTP/2。

一些确实支持HTTP/2的服务器错误配置的服务器无法宣传这一点，使其似乎仅支持HTTP/1.1。这可能会导致人们忽略可行的HTTP/2攻击表面和缺少相关的漏洞，例如基于HTTP/2降级的请求走私。

修复：隐藏http 2

如果要使用http/2，请确保将服务器配置为正确广告。否则，考虑完全禁用IT服务器端以减少不必要的攻击表面。

参考

• http/2：续集总是更糟

脆弱性分类

• CWE-912：隐藏功能

典型的严重程度

信息

类型索引（HEX）

0x01000500

类型索引（十进制）

16778496