PortSwigger Web Security Academy の Access Control ラボ群を、日本語の美容EC文脈で再構成した教材です。
OWASP Top 10 の1位「Broken Access Control」を、典型パターン5種で体験。

全5問 IDOR / 縦の認可 / Mass Assignment シミュレータ完結

教育目的のシミュレータです。攻撃の挙動はブラウザ内で完結し、外部システムへの影響はありません。

知識ベース — 前提知識と概念整理
Knowledge Base · 各ラボから参照される基礎
KB1
認可の基礎
縦の認可と横の認可、IDOR、予測不可能な ID は対策ではない、API エンドポイントの認可、OWASP Top 10 の1位。
KB2
認可攻撃パターンと防御
ID 改ざん攻撃、URL パス改変、パラメータ汚染、Mass Assignment、ミドルウェアによる防御、デフォルト拒否原則。
Phase 1 — 基礎
Apprentice / Practitioner · 認可不備の主要パターン
01
IDOR — 注文番号を変えて他人の注文を覗く
うつろい EC の注文詳細エンドポイントが所有者チェックを行っていない。order_id を別の値に変えるだけで、他のユーザの配送先住所、購入商品、決済額が見えてしまう。
Apprentice
02
管理画面への直接アクセス — 縦の認可不備
一般ユーザの画面にはリンクがない /admin/users に、URL を直接入力するとアクセスできてしまう。サーバ側の認可チェック欠落。
Practitioner
03
Mass Assignment による権限昇格
プロフィール更新 API に {"role": "admin"} を追加して送るだけで、自分を管理者に昇格できる。
Practitioner
04
UUID 経路の認可不備
ID は UUID で予測しにくいが、別 API のレスポンスから他人の UUID が漏れる。「予測不可能性」だけでは認可対策にならない例。
Practitioner
05
クライアント側のみで権限を判定する誤り
UI で「管理者ボタン」を非表示にしているだけで、サーバ側のチェックがない。ボタンを発火させる API 呼び出しを直接実行すれば実行可能。
Practitioner