前言
最近在做我们学校平台的一个题目的时候,突然发现了一个新知识。。。。。可能我是菜鸡吧,大佬们请忽视
正文
这个知识点叫条件竞争。。。
条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。
简单点理解就是在你要做一件事情的时候用很快的速度插了个队并做了另外一件事,一旦这件事情有害就会导致严重后果!!!
这里有篇文章还是讲得很好的,可以参考一下:
http://wiki.secbug.net/web_race-condtion.html
下面是最近做的几道题目
cumt平台上的 上传三
这一个题目在前两个题目绕过的基础上
发现要绕过后台黑名单,但是我们知道黑名单一般都不安全,我们一般用白名单。。。。。
既然他说php后缀是黑名单,我们尝试一下php的别名php1,php2….当一直试到phtml的时候,抓的包就有区别了,刚开始还不知道,这里想干啥,此处感谢骆骆大佬。让我知道这叫条件竞争