Testeur de Race Condition Web

Score de confiance 79/100

Envoyez des rafales de requêtes concurrentes pour détecter les TOCTOU, la réutilisation de coupons, le double paiement et d'autres conditions de concurrence sur les endpoints web.

déclencheurs:race conditionTOCTOUcoupon reusedouble spendconcurrency testpromo redeemlimit overrun

GitHub SKILL.md

Ce qu'il fait

Cette compétence fournit un flux de travail pratique pour tester les endpoints web pour les vulnérabilités de condition de concurrence en lançant des requêtes concurrentes contrôlées contre des opérations avec état (utilisation de coupon, débit de solde, passation de commande, vérification OTP). Elle guide l'agent dans l'identification des cibles probables, la création de payloads de requêtes, l'exécution de rafales synchronisées (via curl + GNU parallel) et l'analyse des modèles de réponse et de l'état du serveur pour déterminer si plusieurs requêtes ont été acceptées par erreur.

Quand l'utiliser

Utilisez cette compétence lors d'évaluations de sécurité, de triage de bug-bounty ou de QA lorsque vous soupçonnez des opérations non atomiques : utilisation de codes promo, dépenses de crédits cadeaux, décrémentation d'inventaire lors d'un achat, vérification OTP/token, ou actions sensibles limitées par le débit. Elle aide à confirmer les faiblesses TOCTOU, le double paiement et le dépassement de limite.

Ce qui est inclus

Scripts : aucun groupé (has_scripts=false) — des exemples de shell procéduraux sont fournis dans le corps de la compétence
Références : aucune incluse dans le repo (has_references=false)
Instructions : guide étape par étape pour identifier les cibles, définir les paramètres de concurrence, exécuter des rafales GNU parallel, agréger les réponses et vérifier l'état du serveur via des endpoints de lecture. Inclut également des heuristiques de détection et des modes de défaillance.

Agents compatibles

Idéal pour les agents pouvant exécuter des commandes shell ou fournir des conseils pour les flux de travail de pentesting (agents avec outils bash/CLI, assistants axés sur la sécurité).

Étiquettes

#security #web #race-condition #pentest #toctou #concurrency #bug-bounty #testing

Aucun script exécutéAudité le May 23, 2026

Résumé de l'audit

Une compétence de test de sécurité pour détecter les vulnérabilités de race condition (TOCTOU, réutilisation de coupons, double dépense) via des rafales de requêtes HTTP concurrentes utilisant curl et GNU parallel. Bien documentée avec des étapes claires, un tableau d'entrées, des modes d'échec et une classification d'impact. Aucun script groupé — toutes les instructions sont en bash inline dans SKILL.md. Outil légitime de pentest/bug-bounty avec un risque d'injection shell dans l'interpolation des variables mais sans intention malveillante.

Points d'attention

L'interpolation des variables shell dans les commandes curl ($TARGET_URL, $AUTH_TOKEN, $REQUEST_BODY) présente un risque d'injection si les valeurs contiennent des métacaractères shell
Nécessite l'installation de GNU parallel et curl — pas toujours disponibles par défaut
Les commandes bash inline manquent de gestion d'erreurs (pas de set -e, pas de trap)

Notes

Compétence de test axée sur la sécurité pour un usage légitime. La technique de requêtes concurrentes est standard pour le test de race condition. Le risque d'injection shell est modéré car l'utilisateur contrôle les variables d'entrée. Pas d'exfiltration, pas de phone-home, pas de commandes destructrices. Documentation bien écrite avec une bonne couverture des modes d'échec et de l'évaluation d'impact.

Informations

Dépôt: security-skill
Étoiles: 19
Installations: 0

Score de confiance

Global79

Sécurité88

Qualité du code72

Architecture65

Utilité58

Compétences similaires

Development Worktree

Create an isolated git worktree for feature work, auto-run project setup, and verify a clean test baseline before development.

Bounty Hunter — Atlas

Persona skill: 'Atlas' — a profit-focused developer persona for discovering, evaluating and executing paid bounties or freelance tasks with ROI-aware workflows.

TradeOS

Natural-language driven CEX trading and portfolio management for agents: API key vaulting, multi-exchange orders, DCA, arbitrage scanning, alerts and security r

Full Stack Builder

End-to-end builder that scaffolds, implements, tests, and optionally deploys web and API applications from a natural-language specification.

Claw Bench

Benchmarking skill that guides an agent through a structured suite of capability tests and reporting steps for leaderboard submission.

Java 25 & Spring Boot 4 Code Reviewer

Run focused, evidence-based code reviews for Java 25 and Spring Boot 4 projects — migration risks, architecture boundaries, null-safety (JSpecify), security, an

ArcKit — French Public Procurement (fr-marche-public)

Generates French public procurement (Dossier de Consultation des Entreprises) drafts aligned with the Code de la Commande Publique, UGAP frameworks, and DINUM d

Speak Security Basics

Security best practices for integrating Speak: API key management, audio data privacy, student data protection, and COPPA/FERPA compliance for production deploy

Retour aux compétences