🛠 Фишка инструмента: Turbo Intruder — атаки на race condition за миллисекунды

Когда обычный Intruder или Repeater уже не справляется — в бой идёт Turbo Intruder. Это плагин для Burp Suite, который позволяет отправлять десятки или сотни запросов одновременно, чтобы выявить уязвимости гонки.

Зачем нужно:

➡️ Тестирование race condition (например, двойное списание денег)

➡️ Атаки на лимиты, биллинг, бонусы, бронирование

➡️ Полный контроль: параллельность, тайминги, паузы, кастом логика

➡️ Поддержка HTTP/2 single-packet атак

Как это выглядит:

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                           concurrentConnections=30,
                           requestsPerConnection=100,
                           pipeline=False)
    for _ in range(30):
        engine.queue(target.req, gate='race')
    engine.openGate('race')  # всё отправляется одновременно

📌 Это создает параллельную волну запросов к одному endpoint. Идеально для атак на гонку состояний.

🐸 Библиотека хакера

#буст