Limit overrun race conditions

El tipo más conocido de condición de carrera le permite superar algún tipo de límite impuesto por la lógica empresarial de la aplicación.

Por ejemplo, considere una tienda en línea que le permite introducir un código promocional durante el proceso de pago para obtener un descuento único en su pedido. Para aplicar este descuento, la aplicación puede realizar los siguientes pasos de alto nivel:

• Comprobar que aún no ha utilizado este código.
• Aplicar el descuento al total del pedido.
• Actualizar el registro en la base de datos para reflejar el hecho de que ahora ha utilizado este código. Si más adelante intenta reutilizar este código, las comprobaciones iniciales realizadas al comienzo del proceso deberían impedirle hacerlo:

Ahora considere qué sucedería si un usuario que nunca ha aplicado este código de descuento antes intentara aplicarlo dos veces casi exactamente al mismo tiempo:

Existen muchas variantes de este tipo de ataque, entre ellas:

• Canjear una tarjeta de regalo varias veces
• Calificar un producto varias veces
• Retirar o transferir efectivo en exceso del saldo de su cuenta
• Reutilización de una única solución CAPTCHA
• Evitar un límite de velocidad anti-fuerza bruta

LAB

En el sitio web tenemos un cupon de descuento.

En el que podemos aplicar para poder comprar algunos artículos, pero observamos que solo tenemos $50 de saldo.

Al aplicar un descuento o cupón vemos que nos hace una reducción del total

Lo que se puede realizar es un envio masivo de la solicitar al agregar el cupón, de manera paralela.

Para ello podemos crear un grupo

Y duplicar la solicitud que agrega el cupón

Al duplicar un total de 30 solicitudes, elegimos la opción de send group parallel.

Al volver al panel de compra vemos que podemos comprar el articulo.