Security Analysis of HTTP/2 Protocol

HTTP/2 is the latest standard version of the HTTP protocol, designed and developed to better handle the increasing complexity of web content. While keeping the semantics of its predecessor, HTTP/2 introduces new features that change the transmission mechanisms, thus opening new security challenges, therefore it is important to asses the security of the protocol and search for threat vectors that could be exploited for malicious purposes. This thesis work focuses on these issues. In particular, the analysis of the vulnerabilities affecting products and services deploying HTTP/2, represents the basis for understanding the potential security threats and attacks. This analysis combined with tests performed on real environments has shown that most vulnerabilities could lead to Denial-of-Service attacks.

HTTP/2 è la versione più recente del protocollo HTTP, progettato e sviluppato per meglio gestire la crescente complessità del contenuto web. Pur mantenendo le semantiche del suo predecessore, HTTP/2 introduce nuove funzioni che modificano i meccanismi di trasmissione, aprendo di conseguenza nuove sfide per la sicurezza, èquindi importante valutare la sicurezza del protocollo e ricercare nuovi vettori di minaccia che potrebbero essere sfruttati per scopi atti a causare danni. Questo lavoro di tesi si concentra su questi temi. In particolare, l'analisi delle vulnerabilità che interessano prodotti e servizi in grado di supportare HTTP/2, rappresenta la base per capire i potenziali rischi di sicurezza ed attacchi che ne scaturiscono. Questa analisi, affiancata da test effettuati in ambienti reali ha mostrato che la maggior parte delle vulnerabilità possono essere sfruttate per lanciare attacchi Denial-of-Service.