文章总结： 本文针对渗透测试中的并发漏洞提供核心场景Checklist，涵盖限次领取与库存超卖两大场景。文中详细介绍了利用TurboIntruder进行高并发重放的测试步骤，强调必须验证后台实际业务结果而非仅看响应状态。文章指出并发测试本质是制造竞争条件绕过逻辑限制，为安全测试人员提供了具体的操作指引。 综合评分： 85 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,安全工具

并发漏洞核心场景Checklist

原创

游山玩水 游山玩水

山水SRC

2026年3月7日 09:24 河南

概述

本文讲解了在渗透测试中遇到哪些功能点需要测试并发，如何使用turbo-intruder-all见下面文章链接登录框短信轰炸checklist

限次领取/操作漏洞

危害：刷取大量资源（优惠券、积分）、扰乱活动（投票）。

出现位置：所有带有“每人限领1次”、“每日限1次”、“限投3票”规则的活动页面。

测试步骤：

1. 抓包：正常领取一张优惠券，拦截成功请求（如 POST /coupon/take，携带用户令牌和券ID）。
2. 并发重放：将请求发送到Burp Suite的 Turbo Intruder，设置线程数为 100，延迟为 0 毫秒，启动攻击。
3. 结果验证：攻击结束后，查询“我的优惠券”列表。漏洞表现为：账户内成功领取了多张（远超过1张）该优惠券。

库存超卖漏洞

危害：商品超卖导致资损或运营事故；名额超限。

出现位置：商品秒杀、课程抢购、活动限量报名等场景。

测试建议与步骤：

1. 首选单用户并发测试（快速验证）

• 方法：使用一个账号，拦截“提交订单”或“确认购买”的最终请求，用Turbo Intruder发起高并发（如50-100个请求）。
• 验证：检查是否生成了多个待支付订单。如果成功，则漏洞存在。
• 优点：简单、快速，能发现大多数因后端逻辑缺陷导致的超卖。

1. 补充多用户并发测试（更贴近真实）

• 方法：使用多个测试账号（或不同会话），模拟真实抢购场景，同时发起购买请求。（也可以一个账号多次点击几次购买按钮，将生成的多个数据包一起放包）
• 验证：检查总成功订单数是否超过库存。
• 必要性：用于检测那些仅在多用户竞争时才出现的漏洞（例如，依赖用户级锁而非商品级锁的系统）。

1. 必须验证业务结果

• 不要只看HTTP响应是否成功。必须登录后台核对订单数量和库存扣减是否准确。这是判断漏洞是否存在的唯一标准。

总结

不要局限于上述环境：发现“只让做一次”或“做完一次才能做第二次”的场景，都可以测试并发漏洞（管他有没有危害，先试出来效果再考虑）

并发漏洞测试的本质是：绕过系统对连续操作的时间间隔或顺序检查，通过同时或极短时间内发送多个请求，使后端处理逻辑出现竞争条件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《并发漏洞核心场景Checklist》