Hello there, ('ω')ノ
https://portswigger.net/web-security/all-labs
「All labs」ページは、PortSwigger Web Security Academyが提供するすべての実践ラボ(演習問題)を一覧できるページです。ここでは、さまざまな脆弱性や攻撃手法ごとに分類されたラボにアクセスできます。初学者でも理解できるよう、主なメニューや機能を分かりやすく解説します。
1. ラボのカテゴリ一覧(Lab Categories)
ラボは以下のようなカテゴリごとに整理されています。各カテゴリには複数のラボが用意されており、実際に手を動かして脆弱性を体験できます。
SQL Injection(SQLインジェクション)
データベースへの不正な命令注入を体験するラボです。Cross-site Scripting (XSS)(クロスサイトスクリプティング)
悪意のあるスクリプトを注入し、他のユーザーのブラウザで実行させる攻撃を学びます。Cross-site Request Forgery (CSRF)(クロスサイトリクエストフォージェリ)
ユーザーの意図しない操作を第三者が実行させる攻撃を体験できます。Access Control(アクセス制御)
本来アクセスできない情報や機能に不正にアクセスする方法とその対策を学びます。Authentication(認証)
ログインやパスワード管理の脆弱性を体験するラボです。Business Logic(ビジネスロジック)
サービスの設計ミスを突いた攻撃手法を学びます。Command Injection(コマンドインジェクション)
サーバーでコマンドを不正実行する攻撃を体験できます。File Upload(ファイルアップロード)
ファイルアップロード機能の脆弱性を利用した攻撃を学びます。Server-side Request Forgery (SSRF)(サーバーサイドリクエストフォージェリ)
サーバーを使って内部ネットワークにアクセスする攻撃を体験します。WebSockets
WebSockets通信の脆弱性に関するラボです。その他多数
例えば、CORS、GraphQL、NoSQL Injection、プロトタイプ汚染、パストラバーサル、キャッシュ攻撃など、最新の攻撃手法も網羅されています。
2. Mystery lab challenge(ミステリーラボチャレンジ)
内容
タイトルや説明が非表示の「ミステリーラボ」に挑戦できます。どんな脆弱性があるか分からない状態で調査・分析する必要があり、実践的なスキルが磨かれます。解説
これは「本番さながらの訓練」として、事前情報なしで脆弱性を見つける力を養うための特別なラボです。
[Take me to the mystery lab challenge]ボタンから挑戦可能です。
初学者向けのポイント
- ラボは「実際に手を動かして学ぶ」ための演習問題です。失敗しても大丈夫なので、どんどん挑戦しましょう。
- カテゴリごとに基礎から応用まで幅広く用意されているので、興味のある分野から始められます。
- ミステリーラボは「総合力を試す」ための特別なチャレンジです。慣れてきたら挑戦してみましょう。
PortSwigger Web Security Academyの「All labs」ページは、ウェブセキュリティを本格的に学びたい人にとって最高の実践環境です。自分のペースで、興味のある分野から一歩ずつ学んでいきましょう。
Best regards, (^^ゞ
