SQSecurePatch QuestWhite Hat Training

Challenge Board

問題一覧

初級9カテゴリに加えて、復習用の応用3問を追加しました。コード+プレビューまたはコードのみで、攻撃→原因確認→修正→再テストを進めます。

12 mission available現在プレイ可能な問題数
SQL InjectionEasyavailable

AIが生成したログイン画面を診断せよ

AIで生成されたログイン画面にあるSQLインジェクションを見つけ、認証突破を防ぐコードへ修正します。

所要時間目安

5〜10分

学べること

SQLインジェクションの原因と、プリペアドステートメントによる防御

獲得可能スコア

60 / 80 / 100 pt

開始する
XSSEasyavailable

コメント掲示板から script を追い出せ

コメント本文を直接HTMLへ流し込んでいる掲示板を診断し、<script> が動かないコードへ修正します。

所要時間目安

5〜10分

学べること

XSS(クロスサイトスクリプティング)の原因と、HTMLエスケープによる防御

獲得可能スコア

60 / 80 / 100 pt

開始する
Authentication BypassEasyavailable

プロフィールAPIの覗き見を止めろ

プロフィールAPIが URL の ID をそのまま信用してしまう穴を、認可チェックで塞ぎます。

所要時間目安

5〜10分

学べること

IDOR(Insecure Direct Object Reference)の原因と、認可チェックによる防御

獲得可能スコア

60 / 80 / 100 pt

開始する
Path TraversalEasyavailable

公開ダウンローダーから ../ を締め出せ

ファイル名をそのままパスに結合しているダウンロードAPIを診断し、公開ディレクトリの外を読めなくするコードへ修正します。

所要時間目安

5〜10分

学べること

パストラバーサルの原因と、パス正規化による公開ディレクトリ外へのアクセス防止

獲得可能スコア

60 / 80 / 100 pt

開始する
Command InjectionEasyavailable

診断ツールのシェルを黙らせろ

ping コマンドにユーザー入力を直接渡しているAPIを診断し、シェルメタ文字による任意コマンド実行を防ぐコードへ修正します。

所要時間目安

5〜10分

学べること

コマンドインジェクションの原因と、execFile による引数分離での防御

獲得可能スコア

60 / 80 / 100 pt

開始する
CSRFEasyavailable

送金APIをCSRFから守れ

CSRFトークンを検証していない送金APIを診断し、外部サイトからの偽装送金を防ぐコードへ修正します。

所要時間目安

5〜10分

学べること

CSRF(クロスサイトリクエストフォージェリ)の原因と、CSRFトークンによる防御

獲得可能スコア

60 / 80 / 100 pt

開始する
Information ExposureEasyavailable

ダッシュボードから管理者キーを取り除け

管理者APIキーをHTMLに直接埋め込んでいるダッシュボードを診断し、サーバー側で隠すコードへ修正します。

所要時間目安

5〜10分

学べること

ハードコードされた秘密情報の露出と、サーバー側プロキシによる防御

獲得可能スコア

60 / 80 / 100 pt

開始する
Open RedirectEasyavailable

ログイン後リダイレクトの脱出を止めろ

redirect パラメータを検証せずに外部URLへ飛ばしてしまうログイン成功ページを診断し、内部パスのみに限定するコードへ修正します。

所要時間目安

5〜10分

学べること

Open Redirect の原因と、リダイレクト先のホワイトリスト/相対パス検証による防御

獲得可能スコア

60 / 80 / 100 pt

開始する
Insecure File UploadEasyavailable

ファイルアップローダーに .html を入れさせるな

拡張子を検証していないファイルアップロードAPIを診断し、悪意のあるHTMLが配信・実行されないコードへ修正します。

所要時間目安

5〜10分

学べること

Insecure File Upload の原因と、拡張子ホワイトリストとファイル名サニタイズによる防御

獲得可能スコア

60 / 80 / 100 pt

開始する
Composite ReviewHardavailable

サポートポータルの3つの入口をまとめて塞げ

ログイン、チケットコメント、ログイン後遷移に潜む SQLi / XSS / Open Redirect をまとめて修正します。

所要時間目安

20〜30分

学べること

SQLインジェクション、保存型XSS、Open Redirectを同じ画面遷移の中で見つけて直す

獲得可能スコア

200 / 250 pt

開始する
Composite ReviewHardavailable

口座センターの権限境界を引き直せ

IDOR、CSRF、ブラウザへの管理者キー露出をまとめて診断し、認可・リクエスト検証・秘密情報管理を復習します。

所要時間目安

20〜30分

学べること

認証と認可の違い、CSRFトークン、ブラウザに秘密を渡さない設計

獲得可能スコア

200 / 250 pt

開始する
Composite ReviewHardavailable

ファイル作業台の危険な入出力を片付けろ

Path Traversal、Command Injection、Insecure File Upload を1つのファイル操作ツールでまとめて修正します。

所要時間目安

20〜30分

学べること

パス正規化、シェルを介さない実行、アップロード拡張子ホワイトリストの組み合わせ

獲得可能スコア

200 / 250 pt

開始する