Çekirge Saldırısı

Ödeme sistemleri çok hassas uygulamalar. Gözden kaçmış ufacık bir boşluğun maliyeti doğrudan para oluyor. Bu nedenle ödeme sistemi uygulamalarının pentestinde her türlü ayrıntıya kafa yormamız gerekiyor.

Bugün yine üzerinde çalıştığımız ve bu anlamda en ilginç zafiyetlerden bir tanesi race condition zafiyeti. Bir kullanıcıdan başka bir kullanıcıya para aktarırken, turbo özelliklerle aynı anda onlarca isteği gönderiyoruz. Gönderdiğimiz para miktarı ile bakiye arasında bir tutarsızlık olduğunu fark ediyoruz.

Bu zafiyetin ortaya çıkmasının ve giderilmesinin nispeten zor olmasının nedeni, çoklu sunucu mimarisi ve yük dengeleyici yapısı. Aynı anda çoklu istek gelince bu yapıdaki ahenk bozulabiliyor. Bu nedenle müşterimizle bu zafiyetin üzerinde günlerce çalışıyoruz, algoritma ve mimari ta ki tüm durumlarda tutarlı olana kadar.