条件竞争漏洞
服务器端漏洞,由于服务器端在处理不同用户的请求时是并发进行的,当并发处理不当或相关操作逻辑顺序设计不合理便会产生条件竞争漏洞
如何利用条件竞争漏洞
背景知识
web程序有上传文件、头像和图片的功能
服务器检查文件是否满足条件,不满足的被删除
实施攻击
利用大量的并发请求,传递一个已生成恶意webshell的图像,访问他就可以生成webshell,在上传完成和安全检查完成并删除它的间隙,攻击者通过不断发起访问请求的方法访问该文件,该文件就会被自行,并且在服务器上生成一个恶意shell的文件