Основные блоги b.Z » Все блоги » Про интернет » Почему стоит проверять приложения на устойчивость к race condition

Почему стоит проверять приложения на устойчивость к race condition

Все блоги / Про интернет 26 февраля 2021 331   
Смотреть в Telegram Поделиться в TG
Если ваше приложение или сервис работает с внутренней валютой, следует проверить его на уязвимости типа race condition («состояние гонки» или, если точнее, — «неопределенность параллелизма»). Race condition — это «плавающая ошибка», которую могут эксплуатировать злоумышленники. Суть в том, что благодаря параллельному выполнению кода можно получить доступ к внутренней валюте приложения, манипулировать ею и, при желании, нанести ощутимый финансовый ущерб владельцу сервиса. Недавно мы обнаружили такую проблему у одного из наших клиентов и помогли ее решить.


Суть уязвимости
Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

В ядре Linux обнаружена опасная 0-day уязвимость Dirty COW (CVE-2016-5195)

В ядре Linux обнаружена опасная уязвимость, которая связана с обработкой подсистемой памяти ядра механизма copy-on-write (COW). Эксплуатируя баг можно спровоцировать так называемое состояние гонки (race condition). При эксплуатации уязвимости неавторизованный локальный пользователь сможет получить

подробнее »
21 октября 2016
Race condition в веб-приложениях

TL;DR Большинство атакующих использовали ненадежные методы race condition, инструмент racepwn поможет это исправить Вася хочет перевести 100 долларов, которые есть у него на счету, Пете. Он переходит на вкладку переводов, вбивает Петин ник и в поле с количеством средств, которые необходимо

подробнее »
17 июля 2019
HackTheBox. Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition

Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox. В данной статье разбираемся с подключением по QUIC HTTP/3, получаем RCE благодаря XSLT инъекции и используем технику Race Condition для получения приватного ключа пользователя. Подключение к лаборатории

подробнее »
29 августа 2020
Как я однажды взломал онлайн-казино

Вдохновившись рассказом Chikey о том как он вновь «сломал интернет» Егор прекрати уже ломать все подряд, займись делом каким-нибудь :), решил поведать об одной истории, с довольно известным за рекой, онлайн-казино. Имя этой «организации» не называю, т.к. процентов на 50 уверен, что или совсем не

подробнее »
22 мая 2015
[Из песочницы] Easy Hack: Java application

Время от времени пентестерам приходится сталкиваться с Java-приложениями. Это могут быть различные серверы, клиенты или просто десктопные программы. И иногда возникает необходимость «пропатчить» такое приложение. Зачем это нужно? Каждый случай возникновения такой необходимости уникален. К примеру:

подробнее »
4 мая 2016
Соцсеть «Одноклассники» запустила кэшбек-сервис с возвратом денег во внутренней валюте

Пользователи могут получить «ОКи» за участие в промоакциях и покупки в офлайне.

подробнее »
14 мая 2018
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии