条件竞争
前言
继续阅读《CTF特训营》web部分
本节是条件竞争
1、简介
条件竞争(Race Condition)
-
多个线程或进程在读写一个共享数据时
-
由于没有锁或同步互斥管理
-
导致输出不一致的问题
2、问题分析与测试
一般代码逻辑引发的条件竞争
例子
多用户访问时可能出现情况如下
测试方法
-
用burp的intruder模块
-
截取数据包后,设置访问次数payloads为1000,并发线程数80,看结果
数据库查询语句未加锁
select加锁的方式
select ... lock in share mode //共享锁select ... for update //排它锁
结语
条件竞争这个漏洞比较少见
学到了
红客突击队于2019年由队长k龙牵头,联合国内多位顶尖高校研究生成立。团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。红客突击队始终秉承先做人后技术的宗旨,旨在打造国际顶尖网络安全团队。其核心团队于2022年转型于信息安全研究院,并为政企提供安全服务与技术支持。
© Honker Security Commando
原文始发于微信公众号(中龙 红客突击队):条件竞争
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论