「体系的に学ぶ 安全なWebアプリケーションの作り方」出版社: ソフトバンククリエイティブ、著者: 徳丸浩 を参考に、脆弱性を仮想環境で再現し、PDFにしました。

  • 実際のプログラムコード
  • 「OWASP ZAP」によるREQUEST/RESPONSEイメージ
  • 脆弱性によるイメージ

ぶっちゃけ、WebサーバとWebアプリのやり取りについては、イメージするのが難しいです。少なくとも私はどうもすっきりしません。
セキュリティ資格の勉強もあるので、上記の本も読んだのですが、実際に仮想環境で通信トレースをして、それをPDFにしておきました。
下記リンクからやり取りを見ることができます。また、役立つトピックも記述しています。

3.1 HTTPとセッション管理

3.2 受動的攻撃と同一生成元ポリシー

3.3 CORS(Cross-Origin Resource Sharing)

4.2 入力処理とセキュリティ

4.3 表示処理に伴う問題 クロスサイト・スクリプティング(基本編)

4.3 表示処理に伴う問題 クロスサイト・スクリプティング(発展編)

4.4 SQL呼び出しに伴う脆弱性

4.5.1 クロスサイト・リクエストフォージェリ(CSRF)

4.5.2 クリックジャッキング

4.6 セッション管理の不備

4.7 リダイレクト処理にまつわる脆弱性

4.7 HTTPヘッダインジェクションの脆弱性

4.8 クッキー出力にまつわる脆弱性

4.9 メール送信の問題

4.10 ファイルアクセスにまつわる問題

4.11 OSコマンド呼び出しの際に発生する脆弱性1

4.11 OSコマンド呼び出しの際に発生する脆弱性2

4.12 ファイルアップロードにまつわる問題

4.12.4 PDFのFormCalcによるコンテンツハイジャック

4.13 インクルードにまつわる問題

4.14 evalインジェクション

4.14.3 XML外部実態参照(XXE)

4.14.3 XML外部実態参照(Java)

4.15 共有資源やキャッシュに関する問題

4.16 Web APIにまつわる問題1

4.16 Web APIにまつわる問題2(CSRF)

4.17 JavaScriptの問題

4.17.3 postMessage呼び出しの不備

4.17.4 オープンリダイレクト

5 認証・認可・アクセス管理

6. 文字コードとセキュリティ

7 Kali Linux 脆弱性検査

7 脆弱性診断の概要

7.4 Nmapによるポートスキャン

7.5 OpenVASによるプラットフォーム脆弱性診断

7.6 OWASP ZAPによる自動脆弱性スキャン