🧩 Хакер-челлендж
На проде магазина замечают странные списания: одни пользователи платят дважды, у других приходит товар без списания. Вот фрагмент логов (время в ms).
❓ Что наиболее правдоподобно объясняет произошедшее, голосуйте эмодзи
🔥 — Неправильно реализован механизм идемпотентности:
👾 — Race condition/несинхронизированное состояние между бэкендами: параллельные запросы обрабатываются разными экземплярами, каждый создал транзакцию до репликации/блокировки.
❤️ — Replay-атака: перехват и повторная отправка запроса с тем же ключом с других IP.
👍 — Интеграционный баг с платёжным провайдером: двойное создание транзакции на стороне провайдера или несогласованность статусов.
🐸 Библиотека хакера
#ctf_challenge
На проде магазина замечают странные списания: одни пользователи платят дважды, у других приходит товар без списания. Вот фрагмент логов (время в ms).
🔥 — Неправильно реализован механизм идемпотентности:
Idempotency-Key не проверяется глобально/атомарно (ключ принимается разными бекендами), из-за чего созданы две транзакции.👾 — Race condition/несинхронизированное состояние между бэкендами: параллельные запросы обрабатываются разными экземплярами, каждый создал транзакцию до репликации/блокировки.
❤️ — Replay-атака: перехват и повторная отправка запроса с тем же ключом с других IP.
👍 — Интеграционный баг с платёжным провайдером: двойное создание транзакции на стороне провайдера или несогласованность статусов.
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
👾18❤12🔥4🥱1