Portswigger练兵场之条件竞争

?条件竞争-突破一次逻辑限制

Lab: Limit overrun race conditions

?实验前置必要知识点

利用条件竞争有概率超过应用程序的业务逻辑的某种限制

例如，考虑一个在线商店，它允许您在结账时输入促销代码以获得订单的一次性折扣。若要应用此折扣，应用程序可以执行以下高级步骤：

1. 检查您是否尚未使用此代码。
2. 将折扣应用于订单总额。
3. 更新数据库中的记录以反映您现在已使用此代码的事实。

如果以后尝试重用此代码，则在进程开始时执行的初始检查应阻止您执行以下操作：

如果以前从未应用过此折扣代码的用户尝试在几乎完全相同的时间应用两次，会发生什么：

应用程序通过临时子状态转换;也就是说，在请求处理完成之前，它进入然后再次退出的状态。在这种情况下，子状态在服务器开始处理第一个请求时开始，在更新数据库以指示您已使用此代码时结束。