PortSwigger Web Security Academy 形式の脆弱性学習を、日本語の美容EC文脈で再構成した教材ポータルです。
各カテゴリは独立して動作する模擬サイト。実際の脆弱なサーバを使わず、ブラウザ内で安全に攻撃と防御を試せます。

カテゴリ別ラボ 各カテゴリに知識ベース付属 静的サイト・サーバ不要 徳丸本・IPA 準拠の対策解説

教育目的のシミュレータです。すべての攻撃実行はブラウザ内で完結し、外部システムへの攻撃機能は持ちません。本サイトで学んだ技術を許可のないシステムに対して使用することは、不正アクセス禁止法その他の法令に違反する可能性があります。

公開中
Available Now · Hands-on labs and knowledge base
SQLi
SQL Injection — 全18問
基礎の WHERE 句注入から UNION 攻撃、Blind SQLi、OAST、WAF 回避まで。Apprentice 2 + Practitioner 16。知識ベース5ページ付属。
XSS
Cross-Site Scripting — 全5問
Reflected / Stored / DOM-based XSS、Cookie 窃取、コンテキスト脱出。iframe sandbox で実際にペイロード実行できる安全な環境。
CSRF
Cross-Site Request Forgery — 全5問
Token なしの古典攻撃、Token 検証不備、セッション非紐付け、Referer 検証回避、SameSite=None の罠。被害者ビュー + 攻撃者ビューの2画面シミュレーター。
AUTH
Authentication — 全5問
ユーザ列挙(エラーメッセージ・タイミング攻撃)、ブルートフォース、TOTP 総当たり、パスワードリセット token の予測。各認証段階のレート制限の重要性を体感。
ACL
Access Control — 全5問
OWASP Top 10 の1位「Broken Access Control」を、IDOR、管理画面への直接アクセス、Mass Assignment、UUID 経路の不備、クライアント側認可の誤りで体験。
PATH
Path Traversal — 全5問
基本攻撃から ../ フィルタ回避、URL エンコード、null バイト、prefix チェック不備まで。仮想ファイルシステムでサーバ機密情報の漏洩シナリオを安全に再現。
Phase 3 — 高度なカテゴリ
Practitioner / Expert · 各カテゴリ Lab 01 公開、全5問予定
SSRF
Server-Side Request Forgery — Lab 01 公開(全5問予定)
商品画像取込 API が任意 URL を fetch。AWS メタデータ 169.254.169.254 から IAM 認証情報を窃取する Capital One 型シナリオ。
XXE
XML External Entity — Lab 01 公開(全5問予定)
商品マスタ XML インポート機能で外部実体が有効。file:///etc/passwdsecrets.yml、AWS メタデータを XML パーサ経由で漏洩させる。
CMDI
OS Command Injection — Lab 01 公開(全5問予定)
在庫サーバ ping 機能で exec("ping -c 1 $host")。シェルメタ文字 ; で任意コマンド実行(事実上の RCE)。
UPLD
File Upload — Lab 01 公開(全5問予定)
プロフィール画像アップロードが Content-Type だけ検証。webshell.php をアップロードして HTTP 経由で RCE。
JWT
JSON Web Token — Lab 01 公開(全5問予定)
サーバが JWT 内の alg ヘッダ値を信用。alg=none で署名検証スキップ、role を user→admin に書き換えて権限昇格。
OAUTH
OAuth 2.0 — Lab 01 公開(全5問予定)
LINE 連携の redirect_uri が prefix 一致でしか検証されず、shop.utsuroi.example.com.evil.com で素通り。認可コードを攻撃者ドメインへ。
GQL
GraphQL — Lab 01 公開(全5問予定)
本番で Introspection が有効。隠した管理 mutation(exportCustomerDataresetUserPassword)が認可不備で実行可能。
RACE
Race Conditions — Lab 01 公開(全5問予定)
クーポン使用処理でチェックと更新が分離。並行リクエスト2発で1枚のクーポンが2注文に二重適用される TOCTOU。
CACHE
Web Cache Poisoning — Lab 01 公開(全5問予定)
アプリが X-Forwarded-Host をレスポンスに反映、CDN のキャッシュキーには含まれない。1回の汚染で全ユーザに攻撃者 JS 配信。
SMG
HTTP Request Smuggling — Lab 01 公開(全5問予定)
フロント(ALB)とバック(Apache)で Content-Length / Transfer-Encoding の解釈が異なる CL.TE。境界差で smuggled リクエストが残る現象を可視化。
PROTO
Prototype Pollution — Lab 01 公開(全5問予定)
設定 API の deepMerge で __proto__ キーを除外していない。Object.prototype.isAdmin = true の汚染で全ユーザが管理者扱いに。