một vài tháng trước Shay ChenQuản lý cấp cao tại Trung tâm bảo mật nâng cao Hacktics (HASC) xuất bản một bài báo về phiên đánh đốmột vectơ tấn công cấp ứng dụng mới có mức độ nghiêm trọng nghiêm trọng và được sử dụng nhiều, nhưng vì một số lý do kỳ lạ, hầu hết các phản hồi mà tôi nhận được là cuộc tấn công quá phức tạp để có thể hiểu được tất cả trong một lần.
Điều kiện cuộc đua phiên tạm thời (TSRC) là một lỗ hổng cấp ứng dụng mới khác (được trình bày vào ngày 15 tháng 9 năm 2011, trong cuộc họp chương OWASP địa phương) mở rộng khả năng đánh đố phiên, cho phép khai thác các điều kiện cuộc đua mà không có độ trễ và cung cấp mục đích mới cho cuộc tấn công từ chối dịch vụ của ứng dụng.
Cuộc tấn công thường kéo dài tuổi thọ của các biến phiên tạm thời (tính toán và gán phiên có tuổi thọ tính bằng mili giây) bằng cách tăng độ trễ của các dòng mã sau thông qua việc sử dụng các cuộc tấn công từ chối dịch vụ được nhắm mục tiêu theo lớp cụ thể.
Thời gian này Shay Chen đã tạo một số phim trình diễn để giải thích chính xác về độ phơi sáng (Mức độ phơi sáng TSRC mới và Đánh đố phiên), ngoài ra, đã xuất bản bản trình bày, công cụ hỗ trợ kiểm tra và phiên bản mới của bộ công cụ đào tạo.
Bạn có thể tìm thấy các đoạn phim minh họa, phần trình bày trên trang chủ của dự án puzzlemall và có một bài đăng trên blog của anh ấy giải thích toàn bộ chủ đề:
Các đoạn phim sau minh họa một số cuộc tấn công TSRC đơn giản:
Các đoạn phim ngắn sau đây minh họa một số trình tự phiên dịch đơn giản khó hiểu
