付録：演習タスクと成果物ガイド

本付録は、exercises/ 配下の演習環境を使って「何を確認し、何を成果物として残すか」を最小単位で整理する。
本文各章の詳細に踏み込まず、作業の抜け漏れ防止と、成果物の作成・提出に接続することを目的とする。

共通（全演習）

• 演習はローカル環境（または許可された検証環境）でのみ実施する。
• 結果は付録『学習ログテンプレート（Burp Academy / 演習）』に従って記録する。
• 記録の最小単位は「確認観点 → 観察ポイント → 証拠 → 所見」である（詳細は学習ログテンプレートを参照）。

Web（Juice Shop / DVWA）

最小タスク（例）

• Burp Suite をプロキシとして挟み、対象アプリを一通り操作してサイトマップ（アタックサーフェス）を作る。
• ログイン等の重要リクエストを Repeater に保存し、再現に必要な前提（アカウント、ロール、Cookie 等）をメモする。
• Set-Cookie と CORS 関連ヘッダの挙動を観察し、成立条件を整理する。
• ログイン／ログアウト時のセッション ID 更新、CSRF 対策（トークン、SameSite 等）の有無を観察する。
• 代表的な脆弱性を 1 件選び、PoC（再現手順・証拠・影響・推奨対策の要点）をまとめる。

推奨成果物

• 学習ログ（再現手順・証拠・所見）
• 重要リクエスト集（Repeater タブ構成、命名、最小再現手順）
• PoC の下書き（後続のレポート作成に接続）

参照

• 対応章：Part 2（Web セキュリティ基盤）、Part 3（Web Pentest 実践）
• チェックリスト：付録『Web Pentest チェックリスト（原案）』

API（crAPI）

最小タスク（例）

• Burp Suite で API トラフィックを取得し、エンドポイント一覧と認証方式（トークン、Cookie 等）を整理する。
• 仕様（OpenAPI 等）と実トラフィックの差分を確認し、「テスト対象の抜け」を洗い出す。
• BOLA（ID 変更）を複数アカウント／複数ロールで差分比較し、成立条件を整理する。
• Mass Assignment を想定し、想定外フィールドの追加による挙動差分を確認する。
• レート制限（認証系や重要操作）を、合意された範囲で確認する。

推奨成果物

• API エンドポイント一覧（仕様と実トラフィックの照合結果）
• 権限差分メモ（ロール／所有者／スコープごとのレスポンス差分）
• 学習ログ（成立条件と証拠）
• PoC の下書き（再現手順・証拠・影響・推奨対策の要点）

参照

• 対応章：Part 4（API Pentest と認証／権限管理）
• チェックリスト：付録『API Security チェックリスト（原案）』、付録『OAuth2 / OIDC テスト項目表（原案）』

モバイル（MobSF）

最小タスク（例）

• MobSF を起動し、評価対象アプリ（APK / IPA）を投入して静的解析レポートを確認する。
• 重点確認項目（マニフェスト設定、パーミッション、ハードコード情報、ストレージ利用）を抽出し、後続の深掘り対象を絞る。
• 通信観測（プロキシ）と端末内データ保護（保存先、暗号化、ログ、バックアップ）を切り分けて所見を作る。
• 動的解析（Frida / objection）を行う場合は、前提（検証端末、root/Jailbreak、Frida サーバ等）を明示し、再現可能な形で記録する。

推奨成果物

• 静的解析メモ（重点確認項目と根拠）
• 端末内データ保護の所見（成立条件・影響・推奨対策の要点）
• 学習ログ（設定値／ツール出力／スクリーンショット等を証拠として整理）

参照

• 対応章：Part 5（モバイル Pentest）
• チェックリスト：付録『モバイル Pentest チェックリスト（原案）』

クラウド／インフラ（SSRF→IMDS）

最小タスク（例）

• exercises/ssrf-imds/ のローカル疑似環境で、SSRF により IMDS 相当エンドポイントへ到達できることを確認する。
• 取得できた情報（ロール名、認証情報相当）と成立条件を整理し、影響（攻撃チェーン）に接続して説明する。
• 防御策（例：IMDSv2、到達制御、最小権限、ログ・監査）を、評価観点として整理する。

推奨成果物

• SSRF→IMDS 相当エンドポイント到達の証跡（リクエスト／レスポンス、取得できた情報、成立条件）
• 前提整理メモ（対象システムの想定、IAM 権限、ネットワーク境界）
• 学習ログ（再現手順・証拠・所見）

参照

• 対応章：Part 6（クラウド・インフラ Pentest）
• チェックリスト：付録『クラウド構成ミス防止チェックリスト（原案）』、付録『Linux / コンテナ検証事項（原案）』

Linux/コンテナ（侵入後の確認）

最小タスク（例）

• exercises/linux-container/ を起動し、侵入後の確認観点（sudo 設定、ファイル権限、SUID/SGID 等）を洗い出す。
• コンテナ起動定義（docker-compose.yml）を読み、ホストマウントの有無や運用上の注意点を整理する。
• 確認結果を「根拠（証拠）→所見→推奨対策」の形に落とし込む。

推奨成果物

• 学習ログ（コマンド出力、観察結果、所見）
• 権限・設定に関する所見（成立条件・影響・推奨対策の要点）

参照

• 対応章：Part 6-4（Linux 権限昇格とコンテナセキュリティ）
• チェックリスト：付録『Linux / コンテナ検証事項（原案）』

総合演習（Part 7）

最小タスク（例）

• スコーピングシートとテスト計画書を作成し、対象範囲・前提・禁止事項・成果物を明文化する。
• 各演習環境を組み合わせ、少なくとも 1 本の攻撃チェーン（例：Web → API → クラウド）を構築する。
• 攻撃チェーンを、根拠（証拠）とセットで可視化し、所見とレポートに接続する。

推奨成果物

• スコーピングシート、テスト計画書
• 学習ログ／証跡集、攻撃チェーン整理資料
• レポート（テンプレートに沿った演習版）

参照

• 対応章：Part 7（総合演習（1週間カリキュラム））
• テンプレート：付録『スコーピングシートテンプレート（Pentest）』、付録『テスト計画書テンプレート（Pentest）』、付録『Pentest レポートテンプレート』
• サンプル：付録『サンプル成果物（記入例）』