DigitalOcean的条件竞争漏洞

利用数据库缺陷实现刷乌云币


乌云某处刷人民币漏洞成功套现


乐视云主站可getshell


from:http://josipfranjkovic.blogspot.hk/2015/04/race-conditions-on-facebook.html 

条件竞争就是不断重复发包,数据库或者程序对于操作的内容没有进行锁死造成绕过之前的条件判断。 

facebook的两个漏洞业务不熟悉,不进行翻译了。 

digitalocean是在促销码那里,重复发包导致可以多次使用同一个促销码。 

DigitalOcean的条件竞争漏洞_第1张图片  

话说乌云之前也有条件竞争的漏洞,导致用户的wb可以是负的,可以多次提现奖金等。 

WooYun: 乌云某处刷人民币漏洞成功套现  

话说之前也有上传文件后续会unlink但是也存在时间差导致可以get shell 

WooYun: 乐视云主站可getshell

你可能感兴趣的:(DigitalOcean的条件竞争漏洞)