开发者社区> spleated> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

条件竞争漏洞

简介: 参考文献:https://blog.csdn.net/u011377996/article/details/79511160 条件竞争漏洞: 一种服务器端的漏洞,是由于开发者设计应用程序并发处理时操作逻辑不合理而造成。
+关注继续查看

参考文献:https://blog.csdn.net/u011377996/article/details/79511160

条件竞争漏洞:

一种服务器端的漏洞,是由于开发者设计应用程序并发处理时操作逻辑不合理而造成。当应用面临高并发的请求时未能同步好所有请求,导致请求与请求之间产生等待时出现逻辑缺陷。该漏洞一般出现在与数据库系统频繁交互的位置,例如金额同步、支付等较敏感操作处,也会出现在文件的操作的地方。

一个栗子

cumt平台上的 上传三

  • 打开是个上传界面,先上传一张图片,得到路径以及提示需要可执行文件


    img_86bd6a7ea843490ac0b4a0763059a400.png
  • 直接上传php文件前端验证都不能过,抓包修改后缀名为php,又得到下个提示
    img_b68686bd35842f6615659a5eb88d8284.png
  • 尝试php1,php2直到phtml说这个被安全软件给杀死了。这里应该就是用到条件竞争了,应该就是指文件上传成功之后又被删除了,若是一直访问,服务器来不及删除就已经解析应该就可以了拿到最后一个flag了。
    img_7dc98b49391ea15f33beddd7e373813e.png
  • 用burp上传phtml文件,再写脚本访问上传的文件
    img_2116a8021a9240f8136feca3e6b7bb55.png

为了避免出现竞争条件,进入临界区要遵循:

  • 任何两个进程不能同时进入访问同一临界资源的临界区
  • 进程的个数,CPU个数性能等都是无序的,随机的
  • 临界区之外的进程不得阻塞其他进程进入临界区
  • 任何进程都不应被长期阻塞在临界区之外

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
漏洞真实影响分析,终结网络安全的“狼来了”困境
关注网络安全的企业大都很熟悉这样的场景:几乎每天都会通过安全媒体和网络安全厂商接收到非常多的漏洞信息,并且会被建议尽快修复。尽管越来越多的企业对网络安全的投入逐年增加,但第一时间修复所有漏洞,仍然是一件非常有挑战的事。
2356 0
百团将不在 国团进入后竞争时代 推荐
百团将不在 国团进入后竞争时代 ——易观报告初揭行业健康发展新趋向 一年零8个月,团购网站的数量从0到5000多家,仅仅用了600多天的时间。基本上,每天你打开网站,都能看到又有几个“陌生”的团购网,进入到你的视野。
829 0
HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准
本文讲的是HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准, 近日,HackerOne官方发布公告,称已放弃使用平台现有的漏洞分类评级标准,转向使用CWE(Common Weakness Enumeration,常见缺陷枚举)标准。
2128 0
+关注
spleated
渗透测试入门的小白一只
文章
问答
文章排行榜
最热
最新
相关电子书
更多
改善弱网络-探索移动互联网下弱网络处理方式
立即下载
代码未写,漏洞已出——谈谈设计不当导致的安全问题
立即下载
观星:每个威胁都不是独立存在的
立即下载