Когда два запроса прилетают в сервер одновременно, начинается классический цирк: система ещё не решила, кому дать доступ, а второй уже успел пролезть. Это и есть Race Condition — уязвимость, где отсутствие синхронизации превращает логику в лотерею.
И вот тут самое вкусное: последствия не из серии «ну, бывает». В зависимости от кривизны реализации можно:
— обойти проверку безопасности;
— списать деньги дважды;
— вытащить доступ к чужому аккаунту;
— пробить лимиты, которые якобы «железные».
По сути, это баг не в коде как таковом, а в тайминге. Один и тот же сценарий при нормальной нагрузке живёт, а при одновременных запросах внезапно устраивает скандал с потерями и разборками. 💥
Уязвимость делится на 3 типа — и каждый ловится по-разному. Если не проверять конкурентные сценарии, сервер будет улыбаться ровно до первого двойного запроса. Потом уже улыбается только атакующий.
Dating Hype Lab
@DatingHypeLab
Когда два запроса прилетают в сервер одновременно, начинается классический цирк: система ещё не решила, кому д
Этот пост опубликован в Telegram-канале Dating Hype Lab. Подписаться можно по ссылке: @DatingHypeLab.