Neler yeni
Bughane Academy

Bughane Academy, bug bounty, web güvenliği ve sızma testi alanında kendini geliştirmek isteyenler için kurulmuş Türkçe odaklı bir topluluktur.

Burada; gerçek güvenlik açıkları, recon ve exploit teknikleri, payload & bypass yöntemleri, araçlar, scriptler ve write-up’lar topluluk tarafından paylaşılır ve tartışılır.

Birlikte öğren, birlikte üret, birlikte güçlen.

RACE CONDİTİON

Zeki Kayaalp

Administrator
Moderator
Avcı
Katılım
2 Ocak 2026
Mesajlar
66
Tepkime puanı
76
Puan
18
RACE CONDTİON

En son yazızımızda herhangi bir koda hiç payload inj etmeden Insecure Design konusunu ele almıştık. Aynı mantıkla çalışan ve çok kritik zafiyetler barındıran RACE CONDITION konusu ele alacağız bu yazımızda.

1*SJiCv_VZmVQhOZfGDneSyg.png

Race condition zafiyeti aynı anda birden fazla istek ile özellikle ticari işlemler / Satış bölümü olan siteleri manipüle etmektir.

Örnek: Daha önce kullanmadığınız bir “İndirim kodunuz” olduğunu varsayın. Normal akışında çalışan bir sistemde bu kodu kullandıktan sonra bir daha kullanamazsınız. Sistem daha önce kullanıldığınıza dair sizlere uyarı verecektir ama sistemin tabir yerindeyse kafasını karıştırarak aynı kodu defalarca kullanabiliriz.

Race Condition işte burda çok kritik bir zafiyet olduğunun alarmını veriyor.


1000TL olan bir siparişe 50 tl olan BUGHANEACADEMY indirim kuponunu 20 defa aynı anda atıp yutturursanız sipariş bedavaya gelebilir.

1*UFp8xFNvVljX418UImWDgQ.jpeg

heyecanlanmaaaaa

Genel itibariyle nasıl yapılır?

Burpsuit/proxy kısmından aldığınız kupon yolunu ;

  1. ( POST /cart/coupon) URL’sini proxy’den çekip repeater kısmına atın
  2. Repeater’da POST /cart/coupon isteği iki kez gönderin.
  3. Dikkat ederseniz, ilk yanıt indirimin başarıyla uygulandığını doğruluyor, ancak ikinci yanıt aynı mesajla kodu reddediyor Coupon already applied.
  4. İstek grubunu POST /cart/coupon paralel olarak yeniden gönderin.
Yapacağınız işin özeti aynı kodu paralel olarak aynı anda aynı sürede göndermektir. Bu işlem milisaniyelerden de daha hızlı gerçekleştiği için isteği yolladığınız istek birincisinde kabul edilip ikincisinde rededilebilir bundan dolayı çalıştığınız sistem ortamınızı çok iyi seçmeniz gerekiyor. Burp gibi sistemler, istekler arasındaki zaman farkını sıfıra indirger. Bunun kadar mühim olan bir diğer husus ise internet bağlantınızdır elbette.

Race Condition ana hatlarıyla budur. Çok iyi yapılandırılmayan sistemler çok büyük veri kaybına uğrarlar. Özellikle 2021 yılından sonra hayatımıza girmiş olan Insecure Design ile beraber sistemler artık Injecton değil de mantık hataları ve manipüle hatalarını barındırıyorlar.


Devamı gelecektir…

Zeki Kayaalp
 
Geri
Üst