title: “Web Pentest 実践 Part の狙い” part: “Part 3” chapter: “3-0”
Part 3:Web Pentest 実践の位置づけ
Part 3 では、Burp Suite を中心とした Web Pentest の実践手順を扱う。Part 1〜2 で整理した攻撃モデル・HTTP / Cookie / セッション管理などの基礎を前提とし、「実際にどのような手順で対象を調査し、脆弱性を確認し、PoC とレポートに落とし込むか」を具体化する。
本 Part は、2024 年時点で一般的に利用されている Burp Suite Community Edition / Professional Edition(2023.x〜2024.x 系)を前提とするが、ツールバージョンに依存しない概念とワークフローを重視して記述する。
本 Part で扱う主なテーマは以下のとおりである。
- Burp Suite の基本操作(Proxy / Repeater / Intruder / Decoder など)
- 情報収集、アタックサーフェスの把握、セッション管理の確認
- 典型的な Web 脆弱性に対するテスト手順と PoC 作成
- PortSwigger Web Security Academy を利用したハンズオン演習
以降の章は、実際の診断現場で利用できる「手順書」のイメージで構成する。
本 Part を読む前提と対応演習
前提として、少なくとも次の状態を想定する。
- Part 2 で HTTP / Cookie / セッション管理などの基礎を一度読んでいる
- Web ブラウザを使って簡単な Web アプリケーションを操作できる
演習環境としては、exercises/juice-shop/ および exercises/dvwa/ を想定し、Burp Suite をプロキシとして挟みながら、実際にリクエスト/レスポンスを観察・改変する流れを体験する。
関連資料
本章のポイント
- Part 3 は Burp Suite を用いた Web Pentest の実践手順を、ワークフローとして具体化する。
- ツールの UI はバージョン差分があるため、操作手順よりも「何を観察し、何を確認するか」を重視する。
- 演習は
exercises/juice-shop/とexercises/dvwa/を用い、観察・改変・PoC 整理・報告の流れを体験する。