Part 3：Web Pentest 実践の位置づけ

Part 3 では、Burp Suite を中心とした Web Pentest の実践手順を扱う。Part 1〜2 で整理した攻撃モデル・HTTP / Cookie / セッション管理などの基礎を前提とし、「実際にどのような手順で対象を調査し、脆弱性を確認し、PoC とレポートに落とし込むか」を具体化する。

本 Part は、執筆時点で一般的に利用されている Burp Suite Community Edition / Professional Edition を前提とするが、ツールバージョンに依存しない概念とワークフローを重視して記述する。

本 Part で扱う主なテーマは以下のとおりである。

• Burp Suite の基本操作（Proxy / Repeater / Intruder / Decoder など）
• 情報収集、アタックサーフェスの把握、セッション管理の確認
• 典型的な Web 脆弱性に対するテスト手順と PoC 作成
• PortSwigger Web Security Academy を利用したハンズオン演習

以降の章は、実際の診断現場で利用できる「手順書」のイメージで構成する。

本 Part を読む前提と対応演習

前提として、少なくとも次の状態を想定する。

• Part 2 で HTTP / Cookie / セッション管理などの基礎を一度読んでいる
• Web ブラウザを使って簡単な Web アプリケーションを操作できる

演習環境としては、exercises/juice-shop/ および exercises/dvwa/ を想定し、Burp Suite をプロキシとして挟みながら、実際にリクエスト／レスポンスを観察・改変する流れを体験する。 観察結果は 学習ログテンプレート（Burp Academy / 演習） に従って記録する。

演習で作る成果物（推奨）

演習では、次の成果物を作ると後続（PoC 作成・レポート作成）に接続しやすい。

• Burp Suite の設定メモ（スコープ、HTTPS 復号、重要リクエストの保存方針）
• アタックサーフェス整理メモ（サイトマップ、機能一覧、重要パラメータの候補）
• PoC の下書き（再現手順・証拠・影響・推奨対策の要点）
• 学習ログ（再現手順・証拠・所見）

関連資料

• 付録「演習環境クイックスタート」
• Web Pentest チェックリスト（原案）
• 学習ログテンプレート（Burp Academy / 演習）
• Pentest レポートテンプレート
• 用語集

次に読む章

• Burp Suite 入門

本章のポイント

• Part 3 は Burp Suite を用いた Web Pentest の実践手順を、ワークフローとして具体化する。
• ツールの UI はバージョン差分があるため、操作手順よりも「何を観察し、何を確認するか」を重視する。
• 演習は exercises/juice-shop/ と exercises/dvwa/ を用い、観察・改変・PoC 整理・報告の流れを体験する。