漏洞挖掘365天挑战——Day068:漏洞报告学习之Race condition in endpoint POST

链接:https://hackerone.com/reports/1460373

作者有一些邀请的链接,使用一个链接可以邀请一个好友。

作者同时发送了11个同样的链接,然后再取消邀请,发现这个邀请回来了。但是发送的其他邀请都可以成功。

意思就是取消邀请,只是取消了最后一个链接的邀请,但是前面的邀请成功了并没有做任何的检测。

这就导致了可以产生无限次的邀请,算是一个业务的逻辑bug。

漏洞挖掘365天挑战——Day068:漏洞报告学习之Race condition in endpoint POST”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s