Testeur de Race Condition Web

Ce qu'il fait

Cette compétence fournit un flux de travail pratique pour tester les endpoints web pour les vulnérabilités de condition de concurrence en lançant des requêtes concurrentes contrôlées contre des opérations avec état (utilisation de coupon, débit de solde, passation de commande, vérification OTP). Elle guide l'agent dans l'identification des cibles probables, la création de payloads de requêtes, l'exécution de rafales synchronisées (via curl + GNU parallel) et l'analyse des modèles de réponse et de l'état du serveur pour déterminer si plusieurs requêtes ont été acceptées par erreur.

Quand l'utiliser

Utilisez cette compétence lors d'évaluations de sécurité, de triage de bug-bounty ou de QA lorsque vous soupçonnez des opérations non atomiques : utilisation de codes promo, dépenses de crédits cadeaux, décrémentation d'inventaire lors d'un achat, vérification OTP/token, ou actions sensibles limitées par le débit. Elle aide à confirmer les faiblesses TOCTOU, le double paiement et le dépassement de limite.

Ce qui est inclus

• Scripts : aucun groupé (has_scripts=false) — des exemples de shell procéduraux sont fournis dans le corps de la compétence
• Références : aucune incluse dans le repo (has_references=false)
• Instructions : guide étape par étape pour identifier les cibles, définir les paramètres de concurrence, exécuter des rafales GNU parallel, agréger les réponses et vérifier l'état du serveur via des endpoints de lecture. Inclut également des heuristiques de détection et des modes de défaillance.

Agents compatibles

Idéal pour les agents pouvant exécuter des commandes shell ou fournir des conseils pour les flux de travail de pentesting (agents avec outils bash/CLI, assistants axés sur la sécurité).