Race Condition — это когда сервер решил, что параллельность ему по плечу, а потом внезапно ловит минус-репутацию, минус-деньги и минус-логика.
Сценарий простой и неприятный: два запроса приходят почти одновременно, лезут в одни и те же данные, а синхронизации нет. И вот уже вместо аккуратной проверки — коллизия. Где-то это «ну багнулся лимит», а где-то уже настоящий скандал: списание дважды, обход защиты, доступ не туда, превышение лимитов. 💥
Самое противное — уязвимость часто выглядит как обычная гонка за микросекунды. Снаружи тихо, внутри сервер жонглирует состояниями и роняет безопасность. Поэтому race condition любят не только багхантеры, но и все, кто ищет момент, где система сама себе враг.
Дальше начинается самое интересное: у этой истории есть три типа, и каждый по-своему может испортить день продукту, разработке и безопасности.
Trend Noise
@TrendNoisePro
Race Condition — это когда сервер решил, что параллельность ему по плечу, а потом внезапно ловит минус-репутац
Этот пост опубликован в Telegram-канале Trend Noise. Подписаться можно по ссылке: @TrendNoisePro.