I thought it's a race condition vuln, because reduceMoney function will be called after the function call purchaseDomain 6 seconds.

But if I want to take advantage of this vuln , I need to make two requests arrive noother_timeout function simultaneously, after try many times , I think this is very difficult to do that.

So, I was just not lucky enough ?

--------------------------------------

Ok, Got it

Utoljára szerkesztette: sunrain - Július 19, 2016 - 04:48:56

Gman_H4ck3r

Globális ranglista: 1315

Összpontszám: 19966

Üzenetek: 5

Köszönetek: 3

Jó szavazatok: 3

Regisztrált: 7é 332n

Utoljára it járt: 6é 350n

A felhasználó offline

RE: A Race Condition Vuln?
Július 19, 2016 - 14:28:23 (7é 326n) Google/fordító1Köszönjük!1Értékes üzenet!0Gagyi üzenet! kapcsolás

Any hint on how did you get it? I tried sending requests at the same time (with Burp intruder and with a python script using threads), but no luck.

Am I missing something?

sunrain

Globális ranglista: 2998

Összpontszám: 7029

Üzenetek: 3

Köszönetek: 3

Jó szavazatok: 2

Regisztrált: 7é 337n

Utoljára it járt: 5é 134n

A felhasználó offline

RE: A Race Condition Vuln?
Július 20, 2016 - 17:14:21 (7é 325n) Google/fordító1Köszönjük!1Értékes üzenet!0Gagyi üzenet! kapcsolás

In fact, I'm not sure if this idea is feasible. But there is another way to solve it.

hint: read the code carefully Smile

Redknee, tunelko, silenttrack, n0tHappy, quangntenemy, TheHiveMind, Z, balicocat, Ge0, samuraiblanco, arraez, jcquinterov, hophuocthinh, alfamen2, burhanudinn123, Ben_Dover, stephanduran89, braddie0, SwolloW, dangarbri, kalungmas feliratkozott erre a beszélgetésre és automatikusan e-mailt kap új üzenet esetén.
1 darab ember nézegeti jelenleg ezt a beszélgetést.
Ezt a beszélgetést 5735-szer jelenítettük meg.