ITmediaに掲載されてた。
帰ってからじっくり読もうっと。
って事で追記（23:40）

• 第14回 Webアプリケーションセキュリティの常識 (1/4) - ITmedia エンタープライズ

を読んでると
なるほど、この間のikepyonさめの公開された資料の隠されてたところが出ている。
まぁ、普通は入力されたデータが問題ないことを確認してからパラメータとして利用すべきであって出来うるならば最初からこういう事が実行されないように対策を施していなければいけないんでしょうけどね。
しかし、こういった具体的な方法が書かれると「試してみよう」と思う人間がどれだけいるかが問題だと思ってしまう。
こういうネタは具体的な方法が判らなければ対策が出来ないけど同時にそれを一般に公開すればそれを見た誰かがどこかに対して攻撃を行ってしまわないかという問題が内在している。
このような記事を書かれている方には是非ともどのような思いから具体的な方法を書かれたのかを示して欲しいと思う。（それによって記事の見方も変わってくると思うし）


でも、今まで「危ない」という危険性を訴えるという観点で書かれていた記事が多かった中でこういう実際の問題となる実装やテスト手法、テストを行う上での観点について述べられた記事はかなり珍しいと感じた。


こういったセキュリティを題材とした記事を読む場合には
・無意味に危機感を煽る
・攻撃手法が特殊なことだと思わせる
・悪用される
ような事が書かれていないかを意識して読んでいるし、
この記事自体は素晴らしいと思うし、参考になる点が多い。（未熟なせいもあるけど）
だが、“しかし”である。
一般の人（特に会社の上位層やITにそれほど詳しくもなくネットショップなどを楽しむ方々）にとってはかなり難しい内容に映ると思う。
そういう人たちに対して、どうやってセキュリティの常識を根付かせていけばいいのかがやはり課題なのかな。