先给不理解竞争条件的朋友们说一下哈
争用条件是一种缺陷,当操作的时间影响其他操作时,该缺陷会产生意外结果。在多线程应用程序中可以看到一个示例,其中对同一数据执行操作。当进程严重或意外地依赖于其他事件的顺序或时间时,可能会发生竞争条件。
共享资源:
竞争条件通常发生在多个线程或进程同时访问和操作共享资源的情况下。共享资源可以是内存中的变量、文件、数据库等。
并发执行:
当多个线程或进程同时执行时,它们可能会以不同的顺序访问和修改共享资源,导致不确定的结果。
未同步访问:
如果没有适当的同步机制来保护共享资源,多个线程或进程可能会同时读取和修改共享资源,导致数据不一致或错误的结果。
target:xxx.com
这里是一个需要付费才可以创建多个用户的管理功能
来到创建功能这里,先创建一个账号先
添加账号数据包的json参数:
{"operationName":"InviteStaffMember","variables":{"details":{"email":"test@gmailcom","firstName":"name","lastName":"asfdas","pin":"","permissions"....................................................
可以看到需要邮箱和用户名两个参数
大部分并发都是一个参数的那要是两个参数并发呢?
那就需要写个脚本去并发了脚本如下:
import randomemails = ["email","email"]random.shuffle(emails)with open("shuffled_emails.txt", "w") as file:for _ in range(500):file.write(random.choice(emails) + "n")
并发后回到页面刷新
直接创建了4个账号这下都不用充钱了
本公众号不承担任何由于传播、利用本公众号所发布内容而造成的任何后果及法律责任。未经许可,不得转载。
原文始发于微信公众号(重生者安全团队):【赏金猎人】两参数的条件竞争漏洞100$
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论