HTTP 구조를 볼 때는 메서드와 상태코드만 보지 말고 사용자의 입력이 어디서 검증되고, 세션이 어떻게 유지되며, 실패 흔적이 남는지까지 이어 봅니다.
쿼리, 바디, 헤더, 쿠키에 신뢰할 수 없는 값이 들어옵니다.
사용자 식별은 로그인 성공 여부와 MFA 적용 여부로 확인합니다.
Secure, HttpOnly, SameSite 속성과 세션 만료 기준을 봅니다.
실패 요청, 관리자 접근, 오류 노출 여부를 증거로 남깁니다.