Stage 5 - CSRF 的な勝手な状態変更 | Security Practice Arcade Docs

Updated 2026年4月10日

このステージで学べること

ログイン済みでも、状態変更リクエストには追加の保護が必要であることを学べます。

脆弱版で起きること

Cookie によるログイン状態だけで更新が通る
外部サイト風の送信でも状態変更が成立する

修正版で確認すること

追加トークンを確認している
正規画面からの更新だけを受け付ける

ここを見ると分かりやすい

hasStageToken
csrfProtection
プロフィールの保存結果

初心者向けのポイント

ログイン済みだから安心、ではありません。
変更系の処理には別の守りが必要です。

ヒント

正規画面からの更新と外部サイト風の送信を比べると理解しやすいです

GitHubでこのページを見る GitHubで編集する