Stage 2 - 他人のスコアを書き換えられる認可不備 | Security Practice Arcade Docs

Updated 2026年4月10日

このステージで学べること

ログインしていても、他人のデータを変更できてはいけないことを学べます。

脆弱版で起きること

リクエスト中の user_id を信じてしまう
結果として他人のスコアを更新できてしまう

修正版で確認すること

更新対象はログイン中ユーザーから決める
他人の ID を送っても無視または拒否される

ここを見ると分かりやすい

target_user_id
updatedUser
ランキングの変化

初心者向けのポイント

「ログインしている」と「そのデータを変更してよい」は別の話です。

ヒント

自分以外のユーザーを選ぶと差が見えやすいです
一般ユーザー同士で試すと理解しやすいです

GitHubでこのページを見る GitHubで編集する