- Katılım
- 2 Ocak 2026
- Mesajlar
- 66
- Tepkime puanı
- 76
- Puan
- 18
RACE CONDTİON
En son yazızımızda herhangi bir koda hiç payload inj etmeden Insecure Design konusunu ele almıştık. Aynı mantıkla çalışan ve çok kritik zafiyetler barındıran RACE CONDITION konusu ele alacağız bu yazımızda.
Race condition zafiyeti aynı anda birden fazla istek ile özellikle ticari işlemler / Satış bölümü olan siteleri manipüle etmektir.
Örnek: Daha önce kullanmadığınız bir “İndirim kodunuz” olduğunu varsayın. Normal akışında çalışan bir sistemde bu kodu kullandıktan sonra bir daha kullanamazsınız. Sistem daha önce kullanıldığınıza dair sizlere uyarı verecektir ama sistemin tabir yerindeyse kafasını karıştırarak aynı kodu defalarca kullanabiliriz.
Race Condition işte burda çok kritik bir zafiyet olduğunun alarmını veriyor.
1000TL olan bir siparişe 50 tl olan BUGHANEACADEMY indirim kuponunu 20 defa aynı anda atıp yutturursanız sipariş bedavaya gelebilir.
heyecanlanmaaaaa
Genel itibariyle nasıl yapılır?
Burpsuit/proxy kısmından aldığınız kupon yolunu ;- ( POST /cart/coupon) URL’sini proxy’den çekip repeater kısmına atın
- Repeater’da POST /cart/coupon isteği iki kez gönderin.
- Dikkat ederseniz, ilk yanıt indirimin başarıyla uygulandığını doğruluyor, ancak ikinci yanıt aynı mesajla kodu reddediyor Coupon already applied.
- İstek grubunu POST /cart/coupon paralel olarak yeniden gönderin.
Race Condition ana hatlarıyla budur. Çok iyi yapılandırılmayan sistemler çok büyük veri kaybına uğrarlar. Özellikle 2021 yılından sonra hayatımıza girmiş olan Insecure Design ile beraber sistemler artık Injecton değil de mantık hataları ve manipüle hatalarını barındırıyorlar.