文章总结： 本文介绍了一种针对存在次数或数量限制操作（如项目创建、文件上传、积分兑换）的并发漏洞测试方法，通过让多个操作停留在‘已触发但未完成最终校验’步骤后，使用BurpSuite拦截数据包并一同发送最后操作，利用真实浏览器会话携带完整Cookie、Session及HTTP头来规避WAF/风控检测，相比TurboIntruder更具隐蔽性与逻辑真实性。 综合评分： 78 文章分类： 渗透测试,web安全,实战经验

卡数据包的并发漏洞

原创

游山玩水 游山玩水

山水SRC

2026年3月29日 11:39 河南

免责声明

本公众号分享的所有渗透测试技术文章仅面向合法授权的安全测试、学习交流与研究用途。读者必须确保自身行为符合《网络安全法》等相关法律法规，严禁将其用于任何未授权攻击等非法活动。因不当使用或传播相关内容所引发的任何法律责任与风险，由行为人自行承担，本公众号（或本人）概不负责

流程

对于有次数或数量限制的操作（如邀请、领取、上传），测试时应尝试让多个操作停留在‘已触发但未完成最终校验’的步骤，然后使用bp拦截数据包一同发送最后操作

①项目/空间创建上限

②文件上传数量/容量限制

③优惠券/积分兑换次数

为什么不使用turbo-intruder

规避WAF/风控

请求来源于您真实的浏览器会话，携带完整的、连贯的Cookie、Session、Token和HTTP头（如User-Agent, Accept-Language）。请求间隔虽然短，但仍在正常用户操作的可能范围内，不易触发基于请求频率或工具指纹的规则

逻辑更真实

每个请求都对应一个真实的、前置的浏览器交互步骤（如点击按钮、填写表单）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《卡数据包的并发漏洞》