Nuevos labs cada semana — Accede a todos desde 5€/mes

Labs de Race Condition

Race Condition (TOCTOU)

¿Qué es Race Condition?

Las Race Conditions ocurren cuando la aplicación no maneja correctamente operaciones concurrentes. Permiten duplicar transacciones, bypassear límites, aplicar cupones múltiples veces o explotar la ventana temporal entre verificación y uso (TOCTOU).

¿Por qué practicar Race Condition?

Las race conditions son difíciles de detectar con scanners automáticos, lo que significa menos competencia. Los bounties suelen ser altos porque afectan directamente a la lógica de negocio (pagos duplicados, cupones infinitos, bypass de rate limiting, leveraging de free trials).

¿Qué aprenderás con los labs de Race Condition?

Aprenderás a identificar operaciones susceptibles (decremento de saldo, claim de cupones, votos), usar Turbo Intruder y la single-packet attack de Burp 2022.6+, calcular ventanas de TOCTOU vía warming cache requests, y a reportar con evidencia visual del estado inconsistente.

Tipos de Race Condition que cubrimos

TOCTOU clásico
Time-Of-Check vs Time-Of-Use: el chequeo (saldo > 0) y el uso (saldo--) no son atómicos. Dos requests paralelas decrementan dos veces.
Limit overrun
Cupones de un solo uso, votos por usuario, claim de bonus. Mandando N requests al mismo tiempo, todas pasan el check antes de la primera escribir.
Single-packet attack
Técnica de James Kettle (PortSwigger): meter 20-30 requests en un solo paquete TCP/HTTP2 para que lleguen al server con desfase < 1ms.

Aprende la teoría

Academy: Race Conditions

Cargando labs...

Ver en catálogo completo →

Otras categorías relacionadas

Business Logic

Business Logic Vulnerabilities

API Abuse

API Abuse & GraphQL Attacks

Auth Bypass

Authentication Bypass

→ Ver todas las vulnerabilidades → Academy gratuita → Precios desde 5€/mes

Empieza con labs de Race Condition

Practica Race Condition (TOCTOU) con labs basados en reportes reales. En español. Desde 5€/mes.

Empieza con el primer lab de Race Condition