测试Web应用程序中的竞争条件

最新推荐文章于 2023-06-12 11:37:36 发布
最新推荐文章于 2023-06-12 11:37:36 发布
阅读量848 收藏 3
点赞数
分类专栏: ctf 文章标签: 竞争条件

转载自:http://www.freebuf.com/articles/network/107077.html

此篇文章主要介绍了一下什么是“竞争条件”漏洞以及介绍了一下如何使用Burp来实现该漏洞的利用。

在对一个应用程序进行黑盒/灰盒安全测试时,我们一般都把精力集中在OWASP TOP10上,而很少去测试“竞争条件”(race condition)问题。有一个共识是使用黑盒/灰盒方法进行“竞争条件”漏洞的挖掘是非常不靠谱的,一般都会通过对代码进行审计来发现此类问题。但是话又说回来了,随着技术的发展和工具的日趋先进,使用黑盒/灰盒测试方法来实现“竞争条件”漏洞的挖掘的可能性大大增加。

在本篇文章中我们将会对“竞争条件”漏洞是什么和该类漏洞可能出现的场景进行讨论,并且会使用Burp来模拟整个流程。

“竞争条件”是什么

“竞争条件”发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。

——Wikipedia-computer_science

开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,而且他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果。

线程同步机制确保两个及以上的并发进程或线程不同时执行某些特定的程序段,也被称之为临界区(critical section),如果没有应用好同步技术则会发生“竞争条件”问题。下图为3个进程同时访问一个程序段。

图片7.png

Java Web应用程序内部

在传统的客户端-服务器模型中,浏览器会将http请求发送至web服务器,然后呈现从服务器接收到的数据。当用户尝试通过浏览器向web应用程序发起多个并发请求时,浏览器并不会如实照做,下图为servlets中的多线程处理。

图片8.png

设想一个基于Java的web应用运行在Apache Tomcat上,该应用包含一个与Java servlet进行交互的容器组件,这个组件负责servlet的生命周期管理,并且负责将url映射到对应的servlet。当web服务器接收到请求时,它会将该请求转发给对应的容器,容器将会创建一个线程来处理该请求,创建一个HTTP请求和响应对象,并将这些对象传递给一个线程。

在我们假设的场景中,该容器并没有顾及到线程安全(当一段代码能够在多个线程同时访问时还能保证自由竞争条件,我们就说它是线程安全的,线程安全应该由开发人员来处理)。

攻击者使用自动化脚本同时向服务器发起多个请求,这会导致容器生成多个线程,而且这些线程是并行执行的,开发人员在进行代码开发时是很难考虑到这些并行执行的线程将会导致结果的复杂性,所以说线程安全是一个应用必须要满足的。(在多线程环境下,容器不会创建一个servlet的多个实例,这些servlet成员会共享所有运行的并发的线程。如果开发人员使用servlet成员来执行操作,则会造成“竞争条件”问题。)

案例分析

假设一个银行应用的场景:一笔交易需要从ACC_Form转移到ACC_TO。如下为实现转账功能的伪代码。

 

图片9.png

在这段伪代码中,钱从账户ACC_From转移到ACC_TO,应用程序会验证账户是否有足够的资金用于转账。但是通过发送多个并发请求(使用自动化脚本),攻击者可以实现向ACC_TO转超过自己余额的金钱。

这种行为发生的原因是服务器上的多个线程同时执行,if的判断条件被多次判定为真,导致代码多次执行,这也就导致了“竞争条件”问题,因为转账的钱可能超过了可用余额。需要注意的是,这种行为非常依赖于网络延迟、程序负载等环境变量。

在进行渗透测试时,安全研究人员需要分析整个应用程序并找出应用程序做了哪些限制,以及是否能够通过同时发送多个请求来绕过这些限制。

使用Burp来找出“竞争条件”问题

渗透测试人员可以使用Burp的intruder功能来实现发送多个并发请求,我们利用上面的伪代码搭建了一个演示的应用程序。

假设一个客户将钱从账户888转移到账户999:

源账户 888 ,余额:1美元。

目标账户 999 ,余额:29,999美元。

图片10.png

现在我们尝试给账户999转账2美元,但是实际上我们只有1美元。

图片11.png

程序返回“Transaction Failed”(转账失败),因为要转账的金额超出了我们的余额。

图片12.png

我们将转账的金额改成1美元,然后发起转账请求。正常情况下,源账户888的余额会变成0,目标账户999的余额会变成30,000美金。

漏洞利用

1、截断转账的请求,并发送至intruder中。

图片13.png

2、进入到“Options”选项中,将线程设置成25(默认为5),因为我们要发送很多并发请求。

图片14.png

3、在“Payloads”选项中选择“Null payloads” ,因为我们只需要重复发包即可。

图片15.png

4、开始发起攻击并观察结果,我们可以看到源账户的余额变成了负数:

源账户余额:-2美元

目标账户金额:30,002美元

图片16.png

挑战

“竞争条件”漏洞有时很难通过黑盒/灰盒的方法来进行挖掘,因为这个漏洞很受环境因素的影响。比如网络延迟、服务器的处理能力等。

参考文献

https://en.wikipedia.org/wiki/Race_condition#Computing

https://en.wikipedia.org/wiki/Thread_safety

https://en.wikipedia.org/wiki/Synchronization_(computer_science)

http://roberto.greyhats.it/pubs/dimva08-web.pdf

http://www.slideshare.net/timtowtdi/1-java-servlets-and-jsp

xuchen16
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
竞争条件测试-业务安全测试实操(8)
AI
06-15 922
竞争条件测试测试原理和方法,测试过程,修复建议
race-the-web测试Web应用程序竞争条件。 包括一个RESTful API,可集成到持续集成管道
02-06
网上竞赛(RTW) 用于通过同时发送出请求的一个用户指定的号码到目标URL(或URL),然后在Web应用程序竞争条件测试比较从服务器的唯一性的响应。 包括许多配置选项。更新:现在CI兼容! 通过使用易于使用的HTTP API...
高并发下的漏洞(条件竞争
zmzsg100的专栏
06-12 412
隔离性有4种,包括读未提交(Read uncommitted)、读提交(read committed)、可重复读(repeatable read)和串行化(Serializable)。2、数据库查询该码,如果查到库里有这个码并且码未被消费过,则走到第3步的逻辑里,否则返回code not useful。4、更新用户的余额,比如兑换的充值码为20元,用户money字段增加20。余额只有80,和预期的不太一样,但有一点是肯定的,一个码被兑换了多次。3、更新码的状态,更新消费该码的用户,
upload_labs_pass18_条件竞争
qq_51550750的博客
04-12 3821
pass18 第18关和前面14-17关(要求上传图片马)不同,直接要求上传一个webshell 提示: 源码: $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp
条件竞争实验-多线程竞争访问
iczfy585的博客
08-07 474
条件竞争的原理是没有对临界资源(共享变量)实现互斥访问,这就可能导致多线程访问时出现结果的不可再现性。解决方法可以是加锁,对临界区的操作要有原子性。 实验环境: wamp,burpsuit 案例 一个文件上传操作,主要源码如下: <?php header("content-type:text/html;charset=utf-8"); if($_FILES["myfile"]["error"] > 0){ echo "upload error"; }else{ $filenam.
条件竞争
kid的博客
06-03 3910
条件竞争 前言 前面强网杯的时候做upload,有大佬提出过条件竞争的思路,虽然最后不是,但看了下条件竞争感觉还是很有意思的,这里来学习一下 下面是从别人博客引用,我感觉是把条件竞争讲的挺清楚的,举的例子和大佬在比赛分析的也很像 下面以相关操作逻辑顺序设计的不合理为例,具体讨论一下这类问题的成因。在很多系统都会包含上传文件或者从远端获取文件保存在服务器的功能(如:允许用户使用网络上的图片...
追求代码质量:测试Struts遗留的应用程序
03-04
用DbUnit进行测试反复测试StrutsStruts的集成测试虽然Struts正在慢慢退出Web框架的历史舞台,但它的遗产仍然存在,存在的形式主要是需要测试和维护的应用程序。这个月,AndrewGlover向您介绍如何使用JUnit的...
JavaND_CloudStorage:Java Web应用程序-云存储
04-19
Super Duper Drive希望您利用在本课程获得的技能专注于构建Web应用程序。 这意味着您负责开发服务器,网站和测试,但是其他任务(如部署)则属于公司的其他团队。入门项目指定了一名高级开发人员作为您的技术主管...
WEB安全测试
07-02
6.14 使用WSFuzzer测试Web服务 132 6.15 理解WSFuzzer的输出结果 134 第7章 使用cURL实现特定任务的自动化 137 7.1 使用cURL获取页面 138 7.2 获取URL的许多变体 139 7.3 自动跟踪重定向 140 7.4 使用cURL检查跨站...
条件竞争漏洞
qq_45521281的博客
06-22 886
竞争条件”是什么? 竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景。 开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,但他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果。 线程同步机制确保两个及以上的并发进程或线程不同时执行某些特定的程序段,也被称之为临界区(critical section),如果没有应用好同步技术则会发生“竞争条件”问题。 条件竞争漏洞其实也就是当同时并发多个线程去做同一件事,导致处理逻辑的代码出错,出现意想不到
burpsuite靶场——CSRF
qq_61768489的博客
12-26 1448
跨站点请求伪造(也称为 CSRF)是一种网络安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。
【网络安全】利用burp进行爆破(普通爆破+验证码爆破)
你在看屏幕的同时,屏幕也在注视着你
06-08 5921
黑客爆破手法
条件竞争检测与绕过
m0_73720136的博客
05-07 221
掌握文件上传的服务端检测条件竞争检测原理以及绕过方法。上传脚本文件,成功上传,但访问时找不到文件,可能存在条件竞争。可以上传一个生成新的文件的脚本文件,利用成功上传到删除文件的时间差(时间差太短可以利用Python脚本实现),在未删除之前立即访问(访问时不报错,说明上传的文件访问时成功解析),则会自动生成一个新的文件,新文件不在检查范围内,即不会被删除。
浅析条件竞争漏洞
Atkx's Blog
05-23 2742
目录0x00-前言0x01-基础知识0x02-漏洞分析0x03-CTF条件竞争 0x00-前言 条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,而且他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果,简而言之就是并没有考虑线程同步。因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。 0x01-基础知识 先来了解一下关于条件竞争的基础知识 条件竞争: 系统,最小的运算
【漏洞靶场】文件上传后端检测条件竞争--upload-labs
m0_46344990的博客
05-08 870
一、漏洞描述 在upload-labs第18关后端采用了白名单的方式对后缀进行检测。但是因为先上传后检测的原因,可以用burp的爆破模块一直上传文件,不断刷新访问路径,在删除之前访问文件可以绕过。 二、漏洞发现 先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php 直接看靶场代码,定义ext_arr为白名单数组,定义file_ext取上传文件的后缀,upload_file为拼接路径。 $_FILES['myFile']['nam
文件包含&条件竞争
qq_63267612的博客
06-26 313
session.upload_progress 与open_basedir、allow_url_fopen、allow_url_include等PHP配置一样,session.upload_progress也是PHP的一个功能,同样可以在php.ini设置相关属性。其最重要的几个设置如下:session.upload_progress.enabled可以控制是否开启session.upload_progress功能 session.upload_progress.cleanup可以控制是否在上传之后删除
【后端检测-绕过】条件竞争漏洞(多线程共享)
07-03 570
【后端检测绕过-条件竞争
Web条件竞争
沐沐的博客
04-19 2843
  最近,正好操作系统课上正在学进程的竞争关系,再加上寒假安恒杯2月赛上有道web题考到了条件竞争漏洞的利用,所以就系统的学习和总结下条件竞争漏洞。一. 漏洞成因:线程编程,为了保证数据操作的一致性,操作系统引入了锁机制,用于保证临界区代码的安全。通过锁机制,能够保证在多核多线程环境,在某一个时间点上,只能有一个线程进入临界区代码,从而保证临界区操作数据的一致性。临界区指的是一个访问共用资源...
web安全竞争条件(Race Condition)
balance的博客
09-20 868
前言 之前linux内核竞争条件漏洞"Dirty COW",直接导致了普通用户提权到root权限。这是系统级别的安全,然而web安全同样存在竞争条件漏洞场景 本文就谈谈web竞争条件漏洞的场景及修复 一、线程安全&amp;竞争条件 1、先来看看线程安全,下段代码用两个线程操作一个公共变量infos import threading def thread1(info): for i ...
web应用程序开发课程设计
最新发布
08-30
web应用程序开发课程设计是一门针对学生学习和实践开发Web应用程序的课程。在这门课程,学生将学习和掌握如何设计、开发和部署Web应用程序。 在课程设计,学生将首先学习HTML、CSS和JavaScript等前端技术,掌握页面布局、样式设计和交互效果的实现。随后,学生将学习后端开发技术,如使用Python或PHP等编程语言,结合数据库技术进行数据交互和处理。 课程设计将包含实际的项目案例,学生将参与到团队合作或个人项目,通过设计和开发一个完整的Web应用程序来实践所学的知识和技能。这将涉及需求分析、系统设计、数据模型设计、用户界面设计、代码实现以及测试和部署等各个环节。 在课程设计过程,学生将面临一系列的挑战和问题,需要学会解决方案的选择和实施。同时,也将培养学生的团队合作能力、项目管理能力和问题解决能力。 这门课程设计的目标是培养学生具备独立开发和维护一个Web应用程序的能力。通过实践和项目经验的积累,学生将能够在实际工作快速适应和应用所学的知识和技能。 总之,web应用程序开发课程设计是一门结合理论和实践的课程,旨在为学生提供全面的Web开发技能和能力,培养他们成为有竞争力的Web开发人才。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值