In the rapidly evolving field of web application security, race conditions remain a significant and often elusive threat, capable of undermining the integrity and reliability of web applications. Existing tools designed to detect these vulnerabilities are either limited to static or non-black-box methodologies, or fail to incorporate the latest advancements in requests parallelization, such as the single packet attack, which is specifically optimized for HTTP/2. This thesis addresses these limitations by proposing and implementing a novel, dynamic, and black-box tool that effectively identifies race conditions using both last byte synchronization for HTTP/1.1 and the more efficient single packet attack for HTTP/2. The tool was developed in Python, with a modular design and allows easy configuration and usage without requiring analysts to write additional code. It supports a range of functionalities, including protocol detection, CSRF token and session handling, and race condition detection through a comparison of sequential and parallel request responses. Experimental validation against known challenges demonstrated the tool’s efficiency and effectiveness in race condition detection, particularly in scenarios where tools like Race The Web, Burp Suite and others are limited.

Nell'ambito, in rapida evoluzione, della sicurezza delle applicazioni web, le race condition rappresentano una minaccia significativa e spesso difficilmente individuabile, capace di compromettere l'integrità e l'affidabilità delle applicazioni web. Gli strumenti esistenti progettati per rilevare queste vulnerabilità sono limitati a metodologie statiche o non black-box, oppure non incorporano i più recenti progressi nella parallelizzazione delle richieste, come il Single packet attack (metodo ottimizzato specificamente per HTTP/2). Questa tesi affronta tali limitazioni proponendo e implementando uno strumento nuovo, dinamico e di tipo black-box, in grado di identificare efficacemente le race condition utilizzando sia la tecnica di last-byte synchronization per HTTP/1.1, sia il Single packet attack, più efficiente, per HTTP/2. Lo strumento è stato sviluppato in Python, con un design modulare e consente una facile configurazione e utilizzo senza richiedere agli analisti di scrivere codice aggiuntivo. Supporta una gamma di funzionalità, tra cui il rilevamento del protocollo utilizzato, la gestione dei token CSRF e delle sessioni, e un rilevamento delle race condition attraverso il confronto delle risposte di richieste sequenziali e parallele. La validazione sperimentale contro sfide note ha dimostrato l'efficienza e l'efficacia dello strumento nel rilevamento delle race condition, in particolare in scenari in cui strumenti come Race The Web, Burp Suite e altri strumenti, risultano limitati.

Race Conditions Detection in Web Applications: An Analysis Tool Integrating Single Packet Attack and Last-Byte Synchronization

PARATICI, ILARIA
2023/2024

Abstract

In the rapidly evolving field of web application security, race conditions remain a significant and often elusive threat, capable of undermining the integrity and reliability of web applications. Existing tools designed to detect these vulnerabilities are either limited to static or non-black-box methodologies, or fail to incorporate the latest advancements in requests parallelization, such as the single packet attack, which is specifically optimized for HTTP/2. This thesis addresses these limitations by proposing and implementing a novel, dynamic, and black-box tool that effectively identifies race conditions using both last byte synchronization for HTTP/1.1 and the more efficient single packet attack for HTTP/2. The tool was developed in Python, with a modular design and allows easy configuration and usage without requiring analysts to write additional code. It supports a range of functionalities, including protocol detection, CSRF token and session handling, and race condition detection through a comparison of sequential and parallel request responses. Experimental validation against known challenges demonstrated the tool’s efficiency and effectiveness in race condition detection, particularly in scenarios where tools like Race The Web, Burp Suite and others are limited.
ING - Scuola di Ingegneria Industriale e dell'Informazione
10-ott-2024
2023/2024
Nell'ambito, in rapida evoluzione, della sicurezza delle applicazioni web, le race condition rappresentano una minaccia significativa e spesso difficilmente individuabile, capace di compromettere l'integrità e l'affidabilità delle applicazioni web. Gli strumenti esistenti progettati per rilevare queste vulnerabilità sono limitati a metodologie statiche o non black-box, oppure non incorporano i più recenti progressi nella parallelizzazione delle richieste, come il Single packet attack (metodo ottimizzato specificamente per HTTP/2). Questa tesi affronta tali limitazioni proponendo e implementando uno strumento nuovo, dinamico e di tipo black-box, in grado di identificare efficacemente le race condition utilizzando sia la tecnica di last-byte synchronization per HTTP/1.1, sia il Single packet attack, più efficiente, per HTTP/2. Lo strumento è stato sviluppato in Python, con un design modulare e consente una facile configurazione e utilizzo senza richiedere agli analisti di scrivere codice aggiuntivo. Supporta una gamma di funzionalità, tra cui il rilevamento del protocollo utilizzato, la gestione dei token CSRF e delle sessioni, e un rilevamento delle race condition attraverso il confronto delle risposte di richieste sequenziali e parallele. La validazione sperimentale contro sfide note ha dimostrato l'efficienza e l'efficacia dello strumento nel rilevamento delle race condition, in particolare in scenari in cui strumenti come Race The Web, Burp Suite e altri strumenti, risultano limitati.
File allegati
File Dimensione Formato  
Paratici_Ilaria-Master_Thesis.pdf

solo utenti autorizzati a partire dal 11/09/2025

Descrizione: Master Thesis
Dimensione 1.45 MB
Formato Adobe PDF
1.45 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/226774