聞かれたので

★入力フォームからは悪意の入力が必ずある
・SQLの入力
・JavaScriptの入力
・OSコマンドの入力
・HTMLの入力
・大量データによるバッファオーバフロー狙い

★保存されているデータを疑え
・保存値はそのまま表示・利用していいものか

★ファイルアップロード・ダウンロードを疑え
・ワーム入りファイルのアップロード
・そのファイルのダウンロード
・大きいファイルの大量投入でディスクフルになる？

★攻撃者はセッション情報の盗用を試みる
・セッションIDの類推に注意
・CookieやHiddenパラメータは攻撃者が読める

★経路は安全ですか？
・SSLじゃなくてよいのですか？
・VPNの必要はありますか？

★猛攻に備えよ
・DoS攻撃があったとき、このサーバはどのような挙動を取る？

★内緒のファイルをWebコンテンツとして配置してはいけない
・検索エンジンのクローラはあなたの内緒のファイルを見つけ出します
・URLを類推して一本釣りされるかもしれません

★認証は適切か
・Webアプリの初期パスワードは変更しましたか？

★多層防御は利用しているか
・OS上の不要なアカウントはいまどうなっている？
・DBサーバ上の不要なアカウントはいまどうなっている？