SQSecurePatch QuestWhite Hat Training

Mission

ダッシュボードから管理者キーを取り除け

管理ダッシュボードは、内部APIを呼ぶための管理者キーをそのままHTMLに埋め込んでブラウザへ返している。DevTools を開いた誰でもキーを読み取れ、その後は管理者として /api/data を直接呼べてしまう。攻撃テストで HTML 内にキーが露出していることを確認し、サーバー側プロキシで隠す方向へコードを修正しよう。

ブラウザに送るHTMLに API キーを直接埋め込んでいるため、ソースを見るだけで誰でも鍵を取り出せます。ブラウザに鍵を渡さず、サーバー側のプロキシエンドポイント越しに必要な情報だけを返す方向の修正を目指します。

脆弱性

Information Exposure

難易度

Easy

状態

available

Difficulty

出題モードを選ぶと、プレビュー有無・ヒント・スコア上限が変わります。

現在ステップ: Step 1状態: 未開始

次にやること: 攻撃テストを実行

Step 1

攻撃テスト

ダッシュボードページを開き、View Source で sk-secret… の文字列が含まれていることを確認しましょう。

Lightweight Preview

Admin Dashboard / mvp-0.3

GET /

static

Payload

GET / → HTMLソース内に sk-secret-admin-key-12345 が露出

この問題は低メモリ公開版では軽量プレビューです。検証は静的パッチ判定で行います。

自動攻撃で検証

未実行

$ automated-attack

使用ペイロード: GET / → HTMLソース内に sk-secret-admin-key-12345 が露出

ボタンを押すと、左のプレビューを手動で操作しなくても 脆弱性の有無を即座に判定します。

実際の脆弱アプリケーションに対して攻撃を実行し、防御を検証します。