Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • MadeYouReset Teknik Serangan DoS Baru pada HTTP/2
  • Sektor Bisnis
  • Sektor Personal

MadeYouReset Teknik Serangan DoS Baru pada HTTP/2

3 min read
MadeYouReset Teknik Serangan DoS Baru pada HTTP/2

Credit image: Freepix

MadeYouReset Teknik Serangan DoS Baru pada HTTP/2 – Peneliti keamanan siber telah menemukan teknik serangan baru yang disebut MadeYouReset, yang memanfaatkan kerentanan dalam berbagai implementasi HTTP/2 untuk melancarkan serangan denial-of-service (DoS) yang kuat.

MadeYouReset dirancang untuk melewati batas standar server yang biasanya mengizinkan 100 permintaan HTTP/2 secara bersamaan per koneksi TCP dari klien. Batas ini sebenarnya bertujuan untuk mencegah serangan DoS.

Tetapi MadeYouReset berhasil menembus batasan tersebut. Akibatnya, seorang penyerang dapat mengirimkan ribuan permintaan.

Yang menyebabkan kondisi denial-of-service bagi pengguna sah. Dalam beberapa kasus, serangan ini bahkan dapat menyebabkan crash out-of-memory.

Kerentanan ini diberi kode identifikasi generik CVE-2025-8671. Namun, kerentanan ini juga memengaruhi berbagai produk lain, termasuk:

  • Apache Tomcat (CVE-2025-48989)
  • F5 BIG-IP (CVE-2025-54500)
  • Netty (CVE-2025-55163)

Baca juga: Evolusi EDR Killer Baru Mengancam Keamanan Sistem

Cara Kerja MadeYouReset

MadeYouReset Teknik Serangan DoS Baru pada HTTP/2
Credit image: Freepix


MadeYouReset adalah cacat keamanan terbaru dalam protokol HTTP/2, setelah Rapid Reset (CVE-2023-44487) dan HTTP/2 CONTINUATION Flood.

Serangan ini dibangun di atas Rapid Reset dan mitigasinya, yang membatasi jumlah aliran data (stream) yang dapat dibatalkan oleh klien menggunakan bingkai RST_STREAM.

MadeYouReset mengeksploitasi fakta bahwa bingkai RST_STREAM digunakan untuk pembatalan yang dimulai oleh klien dan juga untuk memberi sinyal adanya kesalahan aliran data.

Penyerang mengirimkan bingkai yang dibuat dengan cermat untuk memicu pelanggaran protokol, yang kemudian mendorong server untuk mereset aliran data dengan mengeluarkan bingkai RST_STREAM-nya sendiri.

Terdapat enam jenis primitif yang dapat memicu server mengirimkan bingkai RST_STREAM, termasuk mengirimkan bingkai WINDOW_UPDATE dengan nilai 0, bingkai PRIORITY dengan panjang yang tidak sesuai, atau mengirimkan bingkai HEADERS atau DATA setelah klien menutup aliran data.

Dengan memanfaatkan kelemahan ini, MadeYouReset berhasil mengatasi mitigasi Rapid Reset karena penyerang tidak perlu mengirimkan bingkai RST_STREAM.

Sebaliknya, mereka memanipulasi server agar melakukannya, sehingga menghasilkan dampak yang sama berbahayanya.

Menurut CERT Coordination Center (CERT/CC), MadeYouReset mengeksploitasi ketidaksesuaian antara spesifikasi HTTP/2 dan arsitektur internal banyak server we.

Yang mengakibatkan kehabisan sumber daya. Hal ini yang kemudian dapat dimanfaatkan penyerang untuk melancarkan serangan DoS.

Baca juga: Aplikasi Palsu Hantui App Store dan Google Play

Isu Keamanan Lain HTTP/1.1 Desync Attacks

Penemuan MadeYouReset muncul di tengah rincian serangan lain dari perusahaan keamanan aplikasi PortSwigger mengenai HTTP/1.1 desync attacks (juga dikenal sebagai HTTP request smuggling).

Serangan ini dapat mengekspos jutaan situs web terhadap pengambilalihan. Akamai (CVE-2025-32094) dan Cloudflare (CVE-2025-4366) telah mengatasi isu ini.

HTTP request smuggling adalah eksploitasi keamanan yang memanfaatkan ketidaksesuaian cara server front-end dan back-end memproses permintaan HTTP yang tidak sesuai dengan standar. Serangan ini memungkinkan penyerang untuk “menyelundupkan” permintaan dan melewati langkah-langkah keamanan.

PortSwigger menyatakan bahwa HTTP/1.1 memiliki kelemahan fatal di mana penyerang dapat menciptakan ambiguitas ekstrem tentang di mana satu permintaan berakhir dan yang berikutnya dimulai.

Sebaliknya, HTTP/2 dan versi yang lebih baru menghilangkan ambiguitas ini, membuat serangan desync hampir mustahil. Oleh karena itu, PortSwigger menyimpulkan bahwa HTTP/1.1 harus “mati” dan mendorong penggunaan HTTP/2 untuk koneksi antara reverse proxy dan origin server.

Sampai di sini pembahsan kita mengenai MadeYouReset Teknik Serangan DoS Baru pada HTTP/2, semoga informasi tersebut dapat bermanfaat.

 

 

 

Baca artikel lainnya: 

  • Ratusan Laptop Dell Rentan terhadap Serangan yang Sulit Dihapus
  • Game Populer Disusupi Trojan Android
  • Modus Penipuan Canggih untuk Menginfeksi Komputer Sendiri
  • Kerentanan Ditemukan pada Teknologi eSIM Apa Bahayanya?
  • Phising Email Bertarget dan Jebakan Ganda
  • Penipuan ClickTok Mengintai Pengguna TikTok Shop
  • Panduan Mencegah Serangan Man-in-the-Middle
  • Apakah Kamu Tahu Diam-diam Ponsel Bisa Memata-matai
  • Shuyal Stealer Curi Data dari 19 Browser
  • Platform Sex Toy Lovense Ekspos Data Pengguna

 

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: PS1Bot Menyerang Melalui Malvertising
Next: Evolusi Phising dan Arah Masa Depan

Related Stories

WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click
3 min read
  • Mobile Security
  • Sektor Personal

WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click

September 9, 2025
Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
3 min read
  • Sektor Personal
  • Teknologi

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider

September 4, 2025
Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone
4 min read
  • Mobile Security
  • Sektor Personal

Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone

September 4, 2025

Recent Posts

  • Pentingnya Enkripsi Data untuk Melindungi Bisnis
  • Dunia Siber Cemas Kekuatan AI Terpadu Mengancam
  • WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click
  • AwanPintar.id® Laporan Ancaman Digital Semester 1 tahun 2025
  • Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
  • Iklan Palsu di Meta Sebarkan Malware Infostealer
  • Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone
  • Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef
  • Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya
  • Penipuan Musim Sekolah Kembali Marak

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Pentingnya Enkripsi Data untuk Melindungi Bisnis Pentingnya Enkripsi Data untuk Melindungi Bisnis
3 min read
  • Teknologi

Pentingnya Enkripsi Data untuk Melindungi Bisnis

September 9, 2025
Dunia Siber Cemas Kekuatan AI Terpadu Mengancam Dunia Siber Cemas Kekuatan AI Terpadu Mengancam
3 min read
  • Teknologi

Dunia Siber Cemas Kekuatan AI Terpadu Mengancam

September 9, 2025
WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click
3 min read
  • Mobile Security
  • Sektor Personal

WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click

September 9, 2025
AwanPintar.id® Laporan Ancaman Digital Semester 1 tahun 2025 AwanPintar.id® Laporan Ancaman Digital Semester 1 tahun 2025
6 min read
  • Edukasi
  • News Release

AwanPintar.id® Laporan Ancaman Digital Semester 1 tahun 2025

September 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.