PortSwigger Web Security Academy の XXE ラボ群を、日本語の美容EC文脈で再構成した教材です。XML パーサの外部実体機能を悪用したファイル読み取り、SSRF、Out-of-Band データ抽出を扱います。

全5問予定 Lab 01 公開 シミュレータ完結

教育目的のシミュレータです。攻撃の挙動はブラウザ内で完結し、外部システムへの影響はありません。

知識ベース — 前提知識と概念整理
Knowledge Base · 各ラボから参照される基礎
KB1
XXE の基礎
XML 実体参照、外部実体の危険性、攻撃ベクトル、Blind XXE、外部実体無効化による正しい防御。
Phase 1 — 基礎
Practitioner · 主要パターン
01
商品インポート XML から /etc/passwd を読む
うつろい EC の商品マスタ XML インポート機能。外部実体が有効で、file:// URI でサーバ内任意ファイルを読み出せる。
Practitioner
02
XXE による SSRF
file:// だけでなく http:// も使える。AWS メタデータエンドポイントに到達して IAM 認証情報を漏洩。
準備中
03
Blind XXE — 外部 DTD でのデータ抽出
アプリがエラーを返さないように修正されたが、外部 DTD 経由で攻撃者サーバへファイル内容を送信できる。
準備中
04
エラーベース Blind XXE
DTD 経由で意図的にパースエラーを発生させ、エラーメッセージにファイル内容を含めて漏洩。
準備中
05
DoS — Billion Laughs
ネストされた実体参照で、パーサのメモリを爆発的に消費させる古典的 DoS。
準備中