Race Conditions — Single-Packet Attack
Técnica de James Kettle (PortSwigger 2023): completas múltiples HTTP/2 requests con un único paquete TCP, eliminando network jitter.
Categoría: Web · Vectores avanzados 🎯 Trinchera — Técnica de James Kettle (PortSwigger 2023): completas múltiples HTTP/2 requests con un único paquete TCP, eliminando network jitter. Llegan al servidor microsegundos separados, exponiendo TOCTOU que antes eran imposibles de explotar remotos. (Smashing the state machine) 🔗 Kill chain — Casos: doble redención de cupón, double-spend de saldo, registro múltiple con mismo email, MFA bypass durante ventana de validación. 2024 expansion (GMO Flatt): romper límite de 65.535 bytes con first-sequence-sync. 📡 Huella defensiva — Múltiples requests al mismo endpoint en <1ms desde misma IP. Casi imposible de detectar sin telemetría microsegundo. ⚠️ Falso amigo — Burp Repeater “Send group in parallel” no funciona bien sin Single-Packet — usar el modo dedicado de Turbo Intruder o Burp 2023.10+. 🛡️ Remediación — Locks pesimistas (DB transactionFOR UPDATE),
idempotency keys, rate limiting por usuario en operaciones
sensibles, no sólo por IP.
← Volver al glosario completo Última actualización: 2026-06-11