Race Condition — это не “экзотическая багулина”, а банальная коллизия запросов, когда сервер делает вид, что умеет в параллельность, но синхронизацию оставил на потом. Два запроса бьют в одни и те же данные почти одновременно — и дальше начинается лотерея: от кривого состояния до обхода проверок, двойного списания, лишнего доступа или поломки лимитов.
У уязвимости обычно три лица:
1) **TOCTOU** — проверил одно, использовал уже другое.
2) **Double spend / double action** — повторная операция проходит, потому что замок — декоративный.
3) **State desync** — состояние между запросами расходится, и логика едет в кювет.
Ищут это не магией, а нагрузкой на узкие места: параллельные запросы, короткие окна, повторяемые действия, гонка за одним и тем же ресурсом. Если приложение реагирует на конкуренцию как на личное оскорбление — значит, есть где копать ⚙️
Doorway Lab
@DoorwayLabPro
Race Condition — это не “экзотическая багулина”, а банальная коллизия запросов, когда сервер делает вид, что у
Этот пост опубликован в Telegram-канале Doorway Lab. Подписаться можно по ссылке: @DoorwayLabPro.