Stage 3 - 管理画面の権限不備 | Security Practice Arcade Docs

Updated 2026年4月10日

このステージで学べること

管理機能は、画面に出さないだけでは守れず、サーバー側で権限確認が必要であることを学べます。

脆弱版で起きること

導線が隠れていてもサーバーが操作を受け付ける
一般ユーザーでも管理操作ができてしまう

修正版で確認すること

管理者ロールをサーバーが判定している
一般ユーザーは拒否される

ここを見ると分かりやすい

authorization
requiredRole
管理操作後の結果

初心者向けのポイント

見えないボタンは防御ではありません。
本当に止める場所はサーバーです。

ヒント

一般ユーザーで先に試してから管理者で見ると分かりやすいです

GitHubでこのページを見る GitHubで編集する