http://cgi36.plala.or.jp/tera5/v/security/webap_sec2/chap01.html
会員制Webを例として、実践的な例を使って網羅的に記述している点*1がよいね。
特に良いのは、「第9章 ユーザ情報」。

• 項目毎の性質
• 段階的な情報の収集

という例を使って、単に要件定義後の実装方法を考えるのではなく、要件定義からもセキュリティをきちんと検討しなければならないことを言っているのが良い。

できれば、暗に言うのでなく、明快に言ってほしかった。
この点はちょっと残念だけど、実践的な例を使った網羅的な説明は見かけなかったからすごい良い。