第7章　条件竞争

条件竞争（Race Condition）在日常的Web应用开发中，通常不如其他漏洞受到的关注度高。因为普遍的共识是，条件竞争是不可靠的，大多数时候只能靠代码审计来识别发现，而依赖现有的工具或技术很难在黑盒/灰盒中识别并进行攻击。即便该漏洞很难被发现，也仍然有很多企业曾被曝出相关漏洞，例如星巴克咖啡、小密圈的App产品等。本章所要讲解的条件竞争漏洞仅限于Web应用之中。

在CTF的比赛中，条件竞争是一个较为常见的考点之一。第一种情况是出题人在题目中给出了一定提示，或者是设计了较为明显的逻辑问题。第二种情况则是出题人通过本书前面章节讲解的一些手段将题目源码泄露出来，从而使我们能够识别并进行测试。

近年来，CTF比赛中条件竞争相关题目出现的频率有了明显提升，例如，HCTF 2016、0CTF 2017中均有相关题目。