renzi25031469/CVE-2026-49975-HTTP-2-Bomb

一个**分类**（而非漏洞利用）工具，用于识别暴露于 **CVE-2026-49975 — “HTTP/2 Bomb”** 的攻击面。 ## 关于 CVE-2026-49975 “HTTP/2 Bomb” 于 2026 年 6 月 3 日披露，是一种无需身份验证的远程 DoS 攻击，它将 HPACK 压缩炸弹与 Slowloris 风格的保持连接相结合，以耗尽服务器内存。它影响 **nginx、Apache httpd、Microsoft IIS、Envoy 和 Cloudflare Pingora** 的默认 HTTP/2 配置。 正如安全通告所指出的，仅仅询问*“该主机是否支持 HTTP/2？”*范围太广——真正的暴露风险取决于所使用的**实现方式和版本**。这就是为什么此脚本会识别服务器软件并将结果分类为不同的关注级别，而不进行任何漏洞利用。 ## 功能 - 🏴 ASCII banner 和完整的帮助信息 (`-h`) - 🧵 通过 FIFO 信号量实现的多线程（并发由 `-t` 控制） - 🔒 跨线程的原子输出（无交错行，通过 `flock` 实现） - 📄 通过单个主机、文件 (`-f`) 或标准输入 (`-f -`) 进行输入 - 🔍 通过 `Server` 标头进行软件/版本检测 - 🎯 通过 `curl` 的 `%{http_version}` 进行可靠的 HTTP/2 检测 - 📊 导出为 CSV (`-o`) - 🎨 彩色输出（可使用 `--no-color` 禁用） ## 环境要求 - `bash` 4+ - `curl`（需支持 HTTP/2） - `flock`（可选，推荐使用 — util-linux） ## 安装说明 ``` chmod +x detect_http2_bomb.sh ``` ## 运行说明 ``` # 单个 host ./detect_http2_bomb.sh example.com # 使用 30 个线程和 CSV 输出的 host 列表 ./detect_http2_bomb.sh -f hosts.txt -t 30 -o results.csv # 从 stdin 读取 host cat hosts.txt | ./detect_http2_bomb.sh -f - ``` ### 选项 | 选项 | 描述 | 默认值 | |--------|-------------|---------| | `-f, --file ` | 主机列表（每行一个；`#` 表示注释） | — | | `-t, --threads ` | 并行线程数 | `10` | | `-T, --timeout ` | 每个请求的超时时间（以秒为单位） | `8` | | `-o, --output ` | 将结果保存为 CSV | — | | `--no-color` | 禁用彩色输出 | — | | `-h, --help` | 显示帮助信息 | — | ## 判定结果 | 判定 | 含义 | |---------|---------| | `[!] FLAG` | 已启用 HTTP/2 + 已知受影响的软件 → 需验证版本/补丁 | | `[~] INFO` | 已启用 HTTP/2，未识别出服务器 → 需手动排查 | | `[+] OK` | 未启用 HTTP/2 或主机无法访问 | ## CSV 格式 ``` host,server,verdict,status example.com,"nginx",FLAG,"HTTP/2 active + nginx" ``` ## 已修复版本参考 | 服务器 | 状态 | |--------|--------| | nginx | `>= 1.29.8`（引入了 `max_headers` 变量） | | Apache httpd | 补丁于 2026 年 5 月下旬发布 | | Microsoft IIS / Envoy / Cloudflare Pingora | 请查阅厂商安全通告 | ## 法律声明 请仅针对**已授权的目标**使用——即您自己的基础设施、漏洞赏金计划或签约的渗透测试。在未经授权的情况下对系统使用可能属于违法行为。作者不对滥用行为承担责任。 **作者：** Renzi

标签：Bash, CVE-2026-49975, HTTP/2, 应用安全, 批量检测, 插件系统