IPA では、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。

IPAによる、「安全なウェブサイトの作り方」資料がPDFで公開されています。
以下、内容のサマリです。

 2. ウェブアプリケーションのセキュリティ実装
 　SQLインジェクション
 　OSコマンド・インジェクション
 　クロスサイト・スクリプティング
 　セッション管理の不備
 　パス名パラメータの未チェック／ディレクトリ・トラバーサル
 　メールの第三者中継
3. ウェブサイトの安全性向上のための取り組み
 　ウェブサーバのセキュリティ対策
 　DNS 情報の設定不備
 　ネットワーク盗聴への対策
 　パスワードの不備
 　フィッシング詐欺を助長しないための対策

図入りで分かりやすいです。