部分 HTTP/2 实现易于受到窗口大小操控和流优先顺序操控的攻击，可能导致拒绝服务。攻击者通过多个流从指定的资源请求大量数据。它们操控窗口大小和流优先顺序，以强制服务器在 1 字节区块中排列数据。根据数据排队的效率，这种攻击可能过度消耗 CPU、内存或两者兼有。(CVE-2019-9511) 一些 HTTP/2 实施容易受到资源循环攻击，可能导致拒绝服务。攻击者创建多个请求流并持续打乱流的优先级，其方式会造成优先级树的实际改动。这会消耗过度的 CPU。(CVE-2019-9513) 一些 HTTP/2 实施容易受到标头泄露攻击，可能导致拒绝服务。攻击者发送具有零长度标头名称和零长度标头值的标头流，也可选择编码为 1 字节或更大标头的 Huffman。部分实现为这些标头分配内存，并保持分配活动直到会话结束。这会消耗过度的内存。(CVE-2019-9516)

检测

Amazon Linux AMI : nginx (ALAS-2019-1299)（零长度标头泄露）（数据 Dribble）（资源循环）

high Nessus 插件 ID 129569

版本 1.5