要件定義から、運用・保守まで、ぼーっと一日かけて（ォィ考えていたら、なんとなく1冊の本になりそうな気がしてきたw さすがに、そんな能力はないけど･･･ とはいえ、一度本は出版してみたいなぁ。

「サニタイズ」という言葉のイメージの問題なのかなぁ? 私の場合、サニタイズ＝出力直前（自分が作ったコード、というか自分で制御できるコード、から別の人が作ったコード、例えばRDBMSとか自分で制御できないコード、にデータを渡す直前）に行うことという…

http://www.qasec.com/cycle/developmentcyclerisks.shtml 開発工程に存在するリスクについてかな?後で読む。

http://www.qasec.com/cycle/securitytestcases.shtml セキュリティテストケースの作成方法?についてかな。後で読む。

http://www.liquidinfo.net/cgi/validate.cgi?4 Webアプリのロジック上の脆弱性についての文書らしい。後で読む。 しかし、CGIプログラムがまずいのか、一旦ファイルを保存してからPDFファイルとしてみる必要がある。 指摘するのが面倒なので（ォィ）放置の…

http://www.thinkit.co.jp/free/article/0611/2/5/ ちょっと内容が面白かったので。 設計段階からセキュリティ対策を行っていれば、セキュリティ検査が必要ないんじゃないかという人がいるのだけど、実際はそうじゃない。実装したセキュリティ対策がきちんと…