Accede a este lab
Entorno seguro y aislado
Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.
Hunters que lo han resuelto· 5
Logro que recibirás
Cuando resuelvas este lab desbloqueas este logro compartible
BBLABS.ESLab Resuelto
MediaVDP
// achievement_unlocked
Race Condition in Plan Coupon Limits
Race Condition
jun 2026
solved_by@gorkaMiembro desde mar 2026
bblabs.es// real bug bounty practice
Writeups de la comunidad
Despliegue
# Opcion 1: autodeploy
./autodeploy.sh
# Opcion 2: manual
docker compose up --build
# Acceder
https://localhost:1000
Compatible con macOS, Linux y Windows (Docker Desktop / WSL).
Para parar:
./autodeploy.sh destroy
# o: docker compose down -v
Contenido del Lab
La aplicacion
DealZone es una plataforma de cupones con planes de suscripcion que limitan la cantidad de cupones canjeables.
La vulnerabilidad
POST /api/coupons/:id/claim verifica el total de cupones canjeados contra el limite del plan con un delay antes de completar el canjeo. Peticiones concurrentes para diferentes cupones pasan todas el check.
Cadena de ataque
1. Login como alice (Free, limite 2)
2. Listar cupones disponibles (12 cupones)
3. Enviar 12 peticiones concurrentes (una por cupon)
4. Todas pasan el check del limite
5. Resultado: 12 cupones canjeados con plan Free
Solucion interactiva
Accede a /writeup dentro de la aplicacion para una guia paso a paso con botones interactivos.
Flag
(mas cupones canjeados que el limite del plan)
Remediacion
- Transacciones atomicas con bloqueo de fila
- Incremento atomico del contador de cupones
- Verificacion post-commit del limite
