Race Condition

• Race Condition Nedir,Nasıl oluşur?

  Race condition, çoklu threadlerin ortak paylaşılan bir kaynağı eş zamanlı olarak değiştirme çabası sonucu oluşan bir durumdur. Birden fazla thread aynı anda bu kaynağı okuyabilir veya değiştirebilir, bu da beklenmedik sonuçlara neden olabilir.

Potansiyel Etkileri

Hatalı Sonuçlar

Birden çok işlem aynı anda paylaşılan bir kaynağa erişmeye çalıştığında, beklenmeyen ve hatalı sonuçlar ortaya çıkabilir. Bu durum, veri bütünlüğünü bozabilir ve uygulamanın doğruluğunu zedeler.

Güvenlik Açıkları

Race condition, güvenlik açıklarına neden olabilir. Özellikle kritik işlemlerde veya yetkilendirme kontrollerinde oluşan hatalar, güvenlik zafiyetlerine yol açabilir ve kötü niyetli kullanıcıların istismarına açık bir alan bırakabilir.

Hesaplama Hataları

Birden çok işlem arasındaki rekabet, matematiksel veya mantıksal hesaplamalarda hatalara neden olabilir. Bu durum verilerin yanlış hesaplanmasına ve uygulamanın istenen sonuçları üretememesine yol açabilir.

Deadlock ve Livelock Durumları

İşlemler arasındaki rekabet, deadlock veya livelock durumlarına neden olabilir. Bu durumlar, işlemlerin birbirlerini beklemesi veya sürekli olarak birbirlerini engellemesi sonucunda uygulamanın ilerleyememesine ve sistem kaynaklarının tükenmesine yol açabilir

Kod Örneği

Race Condition zafiyetine yol açan bir kod örneği

public static void main(String[] args) {
    Runnable incrementTask = () -> {
        for (int i = 0; i < 1000; i++) {
            counter++; // Paylaşılan değişkeni artır
        }
    };

    Thread thread1 = new Thread(incrementTask);
    Thread thread2 = new Thread(incrementTask);

    thread1.start();
    thread2.start();

    try {
        thread1.join();
        thread2.join();
    } catch (InterruptedException e) {
        e.printStackTrace();
    }

    System.out.println("Sonuç: " + counter);
}

Bu örnekte, iki iş parçacığı aynı counter değişkenini artırmaya çalışır. Ancak işlem sıralamaları kontrol edilmediğinden, race condition oluşur ve sonuç her çalıştırıldığında farklılık gösterebilir. Örneğin, “Sonuç” değeri 2000 olmalıdır (her iş parçacığı 1000 kez artırır), ancak race condition nedeniyle bu değer garanti edilmez. Farklı çalıştırmalarda farklı sonuçlar elde edebilirsiniz.

Laboratuvar Çözümleri

Race Condition Zafiyetini daha iyi anlamak için çözebileceğiniz lablar

PortSwigger Academy

İçerisinde web application security alanında kendinizi geliştirebileceğiniz laboratuvarlar bulunan PortSwigger Race Condition zafiyeti konusunda da gayet güzel laboratuvarlar barındırıyor.

Yavuzlar VulnLab

Yavuzlar Web Güvenliği takımının geliştirmiş olduğu VulnLab içerisinde Owasp Top 10 zafiyetlerinin bulunduğu laboratuvarlar bulunmaktadır. Race Condition zafiyetinde gelişmek isteyenler için oldukça güzel bir laboratuvar sizleri bekliyor.

Race Condition Nasıl Önlenir

Kilitleme Mekanizmaları (Locks)

Kilitleme mekanizmaları, paylaşılan kaynağa eş zamanlı erişimi kontrol altına almak için kullanılır. İşlem kaynağa erişmeye çalıştığında, kilitleme işlemi gerçekleştirilir ve kaynak diğer işlemler tarafından kullanılamaz hale gelir. Bu, yarış durumlarını önler ancak dikkatli bir şekilde kullanılmalıdır çünkü aşırı kilitleme performans sorunlarına yol açabilir.

İşlem Sırasının Kontrolü

İşlem sırasının kontrolü, belirli bir sıra içinde işlemlerin gerçekleştirilmesini sağlayarak race condition'ı önler. Bu, belirli bir sıra izlenmeyen durumları engeller ve tutarsızlık olasılığını azaltır.

Test ve Denetimler

Race Condition zafiyetinin potansiyel etkilerine maruz kalmamak için kodunuzda kapsamlı testler yapmanız gerekmektedir.

Ek Kaynaklar

• https://portswigger.net/web-security/race-conditions

• https://www.techtarget.com/searchstorage/definition/race-condition