【SRC实战】|并发漏洞新手的加油站!

admin
admin
admin
0
文章
0
评论
2026-04-29 05:51:46 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文通过两个实战案例(抽奖积分并发漏洞和答题积分并发漏洞)系统阐述并发漏洞的挖掘方法。核心发现是并发漏洞本质是系统在处理多个同时请求时状态校验失效,常见于有次数限制或资源消耗的场景如抽奖、支付、积分操作等。关键操作建议包括:对存在判断-执行逻辑的接口进行并发测试,重点关注资源变化异常和执行次数异常。 综合评分: 72 文章分类: 漏洞分析,实战经验,WEB安全,安全工具,安全开发

cover_image

【SRC实战】|并发漏洞新手的加油站!

隐雾安全 隐雾安全

隐雾安全

2026年4月28日 09:02 新加坡

在小说阅读器读本章

去阅读

📝 编者语

很多人觉得并发哪有注入,命令执行来的迷人,所以并发往往被忽略,但它的产出却非常稳定:

不依赖复杂payload,很多时候只是:

在“同一时间”,多发几次请求。非常适合新手。

这篇文章,是学员在实战中挖到的两个并发案例。

我们重点不只是看结果,而是看:

这个漏洞,是怎么被想到、被验证、被放大的。

1

先讲清楚:什么是并发漏洞?

用一句话解释:

并发漏洞 = 系统在“同一时间处理多个请求”时,没有做好状态校验

举个简单例子

正常逻辑是:

扣积分 → 抽奖 → 返回结果

但如果你同时发两个请求:

请求1:扣积分 请求2:也在扣积分之前进入

就可能变成:

  • 扣一次积分
  • 执行两次抽奖

本质问题是什么?

“检查”和“执行”不是原子操作

系统以为你只会请求一次,但你同时发了多次。

并发漏洞常见在哪?

我这段时间总结下来,高频点是:

  • 抽奖 / 抢购
  • 积分获取
  • 优惠领取
  • 答题 / 投票
  • 下单 / 支付

一句话:

所有“有次数限制 / 有资源消耗”的地方,都值得测并发

2

案例一:抽奖并发,多抽一次

这个案例其实很典型。

1️⃣ 业务规则很清晰

系统规则是:

 一次抽奖需要 88 积分

而我当时只有:

130 积分

按正常逻辑:

只能抽 1 次

2️⃣ 我当时的想法很简单

看到这种“扣积分 → 执行操作”的流程,我现在基本会多问一句:

“如果我同时发两个请求呢?”

于是我直接用工具做并发请求。

3️⃣ 并发结果

结果是:

成功抽了 2 次

4️⃣ 实际效果

  • 积分只扣了一次
  • 抽奖执行了两次

这是一个典型的:临界条件竞争

5️⃣ 为什么能成功?

本质原因是:

系统流程类似这样:

判断积分是否足够 → 扣积分 → 抽奖

但在并发情况下:

  • 两个请求都通过了“判断”
  • 然后才执行扣积分

导致逻辑错乱。

6️⃣积累的经验

这次出货让我意识到:

“有消耗的操作,一定要测并发”

尤其是:

  • 抽奖
  • 兑换
  • 支付前校验

3

案例二:答题并发,积分直接叠加

第二个案例,其实更有意思一点。

1️⃣ 正常业务逻辑

在这个场景里:

用户发布答题,可以选择“最佳答案”

系统规则是:

  • 只能选一次
  • 会给对应积分
  • 发布答题会扣分

2️⃣ 关注点

看到这种功能,第一反应应该是:

有没有次数限制?能不能绕?

于是抓包看接口。

3️⃣ 并发测试

对“选择最佳答案”的请求做了并发发送。

结果是:

并发成功

4️⃣ 实际效果

  • 积分多次增加

  • 但扣分只发生了一次

直接变成“薅积分”

5️⃣ 这个漏洞的本质

和第一个案例其实一样:

状态校验失效 + 并发请求

系统逻辑是:

判断是否已选择 → 执行选择 → 加积分

但在并发情况下:

  • 多个请求同时通过判断
  • 都执行了加积分

6️⃣ 一个细节(很重要)

这个点如果只测一次,是发现不了问题的。

必须:

刻意去做“同时请求”

4

这两个案例的共同点

如果你把两个案例放在一起看,其实非常统一:

核心问题

状态没有锁 / 没有做原子控制

共同特点

  • 有“次数限制”
  • 有“资源变化”(积分 / 次数)
  • 有“判断 → 执行”流程

利用方式

并发请求

还原它做了什么

5

测并发的“固定动作”

挖到这两个漏洞后,我基本形成了几个习惯:

1️⃣ 看到“扣积分” → 必测并发

2️⃣ 看到“只能一次” → 必测并发

3️⃣ 看到“抽奖 / 领取” → 必测并发

4️⃣ 能重复发包 → 一定试并发

判断是否成功的关键

看三点:

  • 是否执行多次
  • 是否只扣一次资源
  • 返回结果是否异常

这两个漏洞让我印象比较深的一点是:

它们都不复杂,但很稳定。

不需要:

  • 写复杂 payload
  • 绕各种限制

只需要:

多发几次,而且是“同时发”

🎁 文末福利

联系客服获取《并发漏洞挖掘与利用思路整理》

!

微信号丨Hiddenfog001

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:隐雾安全 隐雾安全 隐雾安全《【SRC实战】|并发漏洞新手的加油站!》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0