付録:チェックリスト
本付録では、本書で利用するチェックリスト類をまとめる。
演習・研修・実務での観点整理に利用し、必要に応じて対象システムに合わせて項目を取捨選択する。
- Web Pentest チェックリスト(原案)
認証・セッション管理、アクセス制御、入力値検証など、Web アプリケーションの主要観点を整理する。 - API Security チェックリスト(原案)
BOLA、Mass Assignment、レート制限など、API 特有の観点を整理する。 - OAuth2 / OIDC テスト項目表(原案)
フロー別の確認点(リダイレクト、スコープ、トークン検証等)を整理する。 - モバイル Pentest チェックリスト(原案)
通信保護、端末内データ保護、解析耐性などの観点を整理する。 - クラウド構成ミス防止チェックリスト(原案)
IAM、ネットワーク、ストレージ、監査など、クラウド基盤の観点を整理する。 - Linux / コンテナ検証事項(原案)
権限昇格、コンテナ設定、侵入後の横展開に関する観点を整理する。