Stage 6 - API の過剰なレスポンス | Security Practice Arcade Docs

Updated 2026年4月10日

このステージで学べること

画面で使わない情報でも API で返してしまうと、漏えいにつながることを学べます。

脆弱版で起きること

不要な内部情報までレスポンスに含めてしまう
表示していなくても取得できる状態になる

修正版で確認すること

必要な項目だけ返している
内部データと公開レスポンスを分けている

ここを見ると分かりやすい

profile
ranking
レスポンス JSON の項目数

初心者向けのポイント

大切なのは「見せていない」ことではなく「返していない」ことです。

ヒント

脆弱版のレスポンスで、画面に出ていない項目を探してみてください

GitHubでこのページを見る GitHubで編集する