http://www.securenet.de/papers/Session_Riding.pdf
リクエストやセッションの扱い方についてのドキュメント。ざっと読んでみると

• ショッピングサイトで、値段とか個数とかの値をGETコマンド使って、直リンクなんてやっちゃあだめよ。
• 画像ファイルをサーブレット経由で表示させるときに変数に番号じゃぁ、アイテム番号ってばればれだからだめよ。(普通はハッシュ化するなぁ。)
• 入力に管理用ってわかるような変数を用意したらあかんねん。
• 入力にデバッグ用ってわかるような変数を用意したらあかんねん。
• セッションIDをURLに書いたら、セッションハイジャックされちゃうよん。