IPA/ISEC（独立行政法人 情報処理推進機構 セキュリティセンター）は3月6日、「安全なウェブサイトの作り方　改訂第3版」を公開した。

IPA「安全なウェブサイトの作り方」が改訂第3版になったそうです。



情報処理推進機構：セキュリティセンター：脆弱性関連情報取扱い：安全なウェブサイトの作り方
PDFがダウンロード可能

目次

はじめに
本書の内容および位置付け
対象読者
第３版の主な改訂内容
脆弱性対策について −根本的解決と保険的対策−
ウェブアプリケーションのセキュリティ実装
SQL インジェクション
OS コマンド・インジェクション
パス名パラメータの未チェック／ディレクトリ・トラバーサル
セッション管理の不備
クロスサイト・スクリプティング
CSRF(クロスサイト・リクエスト・フォージェリ)
HTTP ヘッダ・インジェクション
メールの第三者中継
アクセス制御や認可制御の欠落
ウェブサイトの安全性向上のための取り組み
ウェブサーバのセキュリティ対策
DNS 情報の設定不備
ネットワーク盗聴への対策
パスワードの不備
フィッシング詐欺を助長しないための対策
失敗例
SQL インジェクションを考慮できていない実装
クロスサイト・スクリプティングを考慮できていない実装
おわりに
参考資料
用語集
チェックリスト

セキュリティ対策に一読したいですね。
SQL/OSコマンドインジェクション、CSRF、XSS対応が出来ているか？のチェックリストなんかもあって便利。