Hello there, ('ω')ノ

マイルール① まずログイン画面まわりを最優先

• ID・パスワード管理は一番影響が大きい
• ログインページ → パスワードリセット → ユーザー登録 の順に確認

特に：

• URLパラメーター
• Cookie
• 認証関連ヘッダー

を最初に見る習慣をつけます。

---

マイルール② 管理画面・バックエンドを必ずチェック

• 一般ユーザーではアクセスできないはずの場所
• /admin や /manage など推測しやすいURLを必ず確認

また、ブラウザ開発者ツールのリンク一覧やJavaScript内リンクからも見落としがちなので、そこまで確認するのがおすすめです。

---

マイルール③ まずエラーを出してみる

• あり得ない入力を試す
• URL末尾を変えてみる
• 空欄や長文入力をしてみる

とにかくエラーが出る場所を探すことで、隠れた脆弱性の手がかりを得やすくなります。

---

マイルール④ 面倒でもNetworkタブは必ず見る

• F12キー → Networkタブ → すべての通信内容を確認
• 特にAPIレスポンスやヘッダーを必ずチェック

自動ツール任せにせず、目視で確認するだけで新しい発見があることも多いです。

---

マイルール⑤ スマホ・タブレット環境でも確認

• PC版だけでなく、スマホ表示やタブレット表示でもアクセス権限や挙動を確認
• レスポンシブデザイン時にアクセス制御が緩くなることも

---

マイルール⑥ URLパターンは頭の中で整理しておく

• https://intra.example.co.jp/user?id=
• https://intra.example.co.jp/admin?role=

など、社内でよく使われるURLパターンを把握しておくことで、チェック時の抜け漏れを防げます。

---

チェックリストまとめ（マイルール用）

• [ ] ログイン関連機能から最優先でチェック
• [ ] 管理画面や裏URLを必ず確認
• [ ] エラーを出してみて挙動確認
• [ ] NetworkタブやAPIレスポンスを毎回チェック
• [ ] スマホ・タブレット環境でも確認
• [ ] よく使うURLパターンを把握しておく

---

注意事項

• 本番環境では必ず事前許可を取ること
• 開発チームやセキュリティ担当と情報を共有しながら進めること

---

まとめ

• 「効率よく見つける」ためには技術だけでなく、考え方や習慣が大事
• 自分なりのマイルールを持つことで、抜け漏れなく効率よくチェックできる
• 何より「慣れること」が一番の近道

Best regards, (^^ゞ