title: “Web セキュリティ基盤 Part の狙い” part: “Part 2” chapter: “2-0”

Part 2：Web セキュリティ基盤の位置づけ

Part 2 では、Web / API Pentest の土台となる技術要素を整理する。HTTP、Cookie、CORS、SameSite、セッション管理、CSRF、JWT、OAuth2 / OIDC といったテーマは、後続の Part 3（Web Pentest 実践）および Part 4（API Pentest）で繰り返し登場するため、本 Part で一度体系的に押さえておく。

本 Part の目的は、個別の脆弱性名称を暗記することではなく、「なぜその脆弱性が成立するのか」をプロトコルレベルで理解することである。これにより、教科書に載っていない実装パターンに対しても、自らアタックサーフェス（攻撃面 / Attack Surface）を推定し、テスト設計を行えるようになる。

本 Part で扱う主なトピックは、以下のとおりである。

• HTTP / Cookie / CORS / SameSite
• セッション管理と CSRF
• JWT / OAuth2 / OIDC
• Web アプリケーションの典型的な脆弱性

本 Part のゴール

Part 2 を読み終えた時点で、読者は次の状態に到達することを目標とする。

• HTTP リクエスト／レスポンス、ヘッダ、ステートレス性の意味を説明できる
• Cookie の仕組み（Domain/Path/Secure/HttpOnly/SameSite など）と、CORS の基本動作を理解している
• セッション管理と CSRF の関係、および代表的な対策パターンを説明できる
• JWT の構造、署名検証の意味、典型的な誤実装パターンを理解している
• OAuth2 / OIDC の基本ロールと代表的フロー（特に Authorization Code + PKCE）を概説できる
• XSS、SQL インジェクション、CSRF、認可不備など、典型的な Web 脆弱性について「なぜ成立するか」をプロトコル視点で説明できる

以降の Part では、ここで整理した基盤を前提として具体的なテスト手順やツール操作に踏み込む。

本 Part を読む前提と対応演習

前提知識としては、以下を想定する。

• HTTP のごく基本的な仕組み（リクエストとレスポンス、ステータスコードなど）
• クッキーやセッションといった Web の基本用語を一度は聞いたことがある

これらが曖昧な場合でも、本 Part の中で図や例とともに改めて整理するため、読み進めながら理解を深めていけばよい。

演習としては、exercises/juice-shop/ や exercises/dvwa/ 配下に用意する Web アプリケーションを用い、Burp Suite を通じて HTTP トラフィックを観察しながら、本 Part で整理した概念を確認することを想定する。

関連資料

• 付録「演習環境クイックスタート」
• Web Pentest チェックリスト（原案）
• OAuth2 / OIDC テスト項目表（原案）
• 用語集

次に読む章

• HTTP / Cookie / CORS / SameSite

本章のポイント

• Part 2 は、Web / API Pentest の土台となるプロトコル・認証要素（HTTP、Cookie、セッション、JWT、OAuth2 / OIDC 等）を整理する。
• 本 Part の狙いは脆弱性名の暗記ではなく、「なぜ成立するか」をプロトコルレベルで説明できる状態を作ることである。
• 後続の Part では Burp Suite 等で実リクエストを観察するため、本 Part で基礎概念を一度体系化しておく。