Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “PoC 作成とレポーティング” part: “Part 3” chapter: “3-3”

PoC 作成とレポーティング

本章では、発見した脆弱性を PoC(Proof of Concept)として整理し、Pentest レポートに落とし込む際のポイントを扱う。技術的な検証とビジネス側への説明の橋渡しが主眼である。

本章のゴール

  • 前提:対象機能の挙動差分が取れており、再現可能なリクエストを Repeater 等に保存している。
  • 到達目標:PoC を「最小限・再現可能・本番影響を最小化」の原則で整理し、レポートではリスクシナリオと影響(ビジネスインパクト)まで含めて説明できる。
  • 対応演習:exercises/juice-shop/ または exercises/dvwa/ で発見した挙動を 1 件選び、再現手順・証拠(リクエスト/レスポンス)・推奨対策を PoC としてまとめる(起動手順は 付録「演習環境クイックスタート」 を参照)。

PoC の基本方針

PoC は、「脆弱性が実際に悪用可能であること」を示す最小限の手順と証拠から構成される。実務では次の点を重視する。

  • 再現手順が簡潔であること(手順の数、依存条件が最小限)
  • 本番環境への影響を最小化していること(データ改ざんやサービス停止を伴わない範囲で実施)
  • 攻撃者視点と防御者視点の両方から意味が読み取れること

Burp Suite 上での PoC は、通常以下の要素を含む。

  • 対象 URL と HTTP メソッド
  • 必要な前提条件(ログイン状態、ロール、特定のパラメータ値など)
  • 実際に送信したリクエスト(ヘッダ/ボディを含む)
  • 特徴的なレスポンス(ステータスコード、本文の一部)

図3-3: PoC からレポート所見への落とし込み(概要)

flowchart TB
    Repro[再現(最小手順)\nRepeater に保存] --> Evidence[証拠\n(リクエスト/レスポンス等)]
    Evidence --> Conditions[成立条件・前提\n(認証状態/ロール等)]
    Conditions --> Impact[影響・リスクシナリオ\n(ビジネスインパクト)]
    Impact --> Fix[推奨対策\n(実装/設計/運用)]
    Fix --> Finding[レポート所見\n(概要/影響/手順/証拠/対策)]

図3-3 のように、PoC は「再現できること」を示すだけでなく、成立条件・影響・対策まで接続してはじめて、関係者の合意形成に使える所見になる。

Burp を用いた PoC の整理

実務では、Burp の Repeater やプロジェクトファイルを PoC の土台として活用する。

  • Repeater タブを「脆弱性ごと」に整理し、名称を付けておく
  • スクリーンショットやテキストエクスポートをレポート用資料として保存する
  • 必要に応じて、簡易的なスクリプト(例:curl コマンド、Python スクリプト)に変換し、自動再現可能な PoC として提供する

PoC 自体が攻撃ツールとして悪用されないよう、提供範囲や管理方法については組織のポリシーに従う。

レポート構成の基本

本書の Part 7 ではレポートテンプレートを詳細に扱うが、ここでは Web Pentest における典型的な構成を簡潔に示す。

  • エグゼクティブサマリ
    評価対象、期間、主なリスク、全体的な所見。
  • メソドロジー(手法)
    利用した標準(OWASP ASVS / WSTG 等)、テスト環境、ツール(Burp Suite など)。
  • 発見事項(Findings)
    脆弱性ごとに、概要、影響度、再現手順、証拠(スクリーンショットやログ)、推奨対策を記載。
  • 附属資料
    テスト対象の一覧、スコープ、使用したチェックリスト等。

Burp の結果をそのまま貼り付けるのではなく、「なぜそれがビジネス上重要か」「どのようなリスクシナリオが想定されるか」を文章として補うことが重要である。

リスクシナリオの記述

単に「XSS が存在する」と記載するだけでは、非技術者にとってリスクの理解が難しい。次のような観点からシナリオを記述する。

  • 攻撃者の前提(認証の有無、ネットワーク位置など)
  • 想定される攻撃手順の概要
  • 被害内容(情報漏えい、なりすまし、不正取引など)
  • 発生しうる頻度や検知の難易度

Part 1 で扱った攻撃モデル(Kill Chain / MITRE ATT&CK)を引用し、「本件は Initial Access と横展開の起点となりうる」といった表現を用いることで、防御側チームとの共通理解が得やすくなる。

次に読む章

関連資料

本章のポイント

  • PoC は「最小限」「再現可能」「本番影響を最小化」の原則で整理し、リクエスト/レスポンスを根拠として残す。
  • Burp Suite の Repeater / プロジェクトファイルを PoC の土台にし、必要に応じて curl 等へ変換して再現性を高める。
  • レポートは技術所見だけでなく、リスクシナリオとビジネス影響を文章で補い、関係者の合意形成に繋げる。