ソース:
脆弱性:RACE Condition
訳:
説明:
競合状態攻撃は、特定のシーケンスでタスクを処理するように設計されたコンピューティングシステムが 2 つ以上の操作を同時に実行することを強制された場合に発生し。 最終的に、アプリケーションは意図しないアクションの実行を強制されて。
これにより、アプリケーションがセキュリティの悪用につながり。
攻撃シナリオ:
通常、管理者ユーザーは自分のチーム内に3人のメンバーのみを作成する権限を与えられます。
ただし、RACE 条件の脆弱性を利用して4人のチーム メンバーを作成することに成功しました。
私が従った手順:
2. 「電子メールと名前」がパラメータとして取得され、競合状態攻撃に使用されています。
3. 次に、RACE 条件攻撃を刺激するIntruder オプションを設定する必要があります。
まず、スクリーンショットに示されているようにパラメーター値を指定する必要があります。
3. 次に、実行するスレッドの数を変更する必要があります。 これはサーバーへのリクエストの送信を高速化するため、非常に重要です。
4.侵入者オプションの「攻撃の開始」をクリックし。
Burp はサーバーへのリクエストの送信を同時に開始し。
この攻撃の結果、無事にチームメンバーを4名追加することができて。 現在、私のチームには合計 4 人のチームメンバーがいます。