SSL証明書とは、SSL暗号化通信を行う際に利用される証明書です。証明する範囲によってDV, OV, EVの３つのレベルが存在します。

ドメイン認証型（DV：Domain Validation）

ドメインに登録されている登録者を証明します。暗号化通信を行う基本的な情報が確認されます。低コスト（無料版もあり）で発行スピードが速いです。

実在証明型（OV：Organization Validation）

ドメイン認証に加え、運営組織が実在することを証明します。審査があるため発行には時間を要します。

EVタイプ（EV：Extended Validation）

実在証明型より、厳格な審査が行われます。アドレスバーに緑色で組織名が表示されます。

サイトの信頼性は、DV＜OV＜EVのように違いがありますが、暗号化通信の安全性には違いはありません。

クロスサイト・スクリプティング(XSS)

Webページに対するリクエスト、あるいは、Webページを表示するためのデータベースにスクリプトを埋め込まれ、不正にページを改ざんされるなどの攻撃。
サイトをクロスして（超えて）スクリプトを実行する。
次の２つのタイプがある。

• 格納型XSS
  Webページの脆弱性を悪用した攻撃で、掲示板のデータベースに不正コードを格納させるなどを行う。当該サイトにアクセスするたびにスクリプトが実行される。
• 反射型XSS
  罠サイト経由で脆弱性サイトにアクセスしたときにスクリプトが実行されるリクエストを送りつける。

考えられる対策

• ユーザが入力した文字列をHTMLタグ（HTMLの特殊記号）として解釈しないように処理する（プログラムする）。

クロスサイト・リクエスト・フォージェリ(CSRF)

セッションを悪用し、登録制のウェブサイトにログインしている利用者に意図しない操作をさせる攻撃。あるWebサイトにログインしている状態で、別のサイトのリンクをクリックするなどの操作によって、悪意あるスクリプトを実行させる。

※セッション＝サーバ側で一般利用者を識別し、同一利用者に対して継続したサービスを提供するしくみ。ネットショッピングの買い物カゴ機能などで利用されている。

考えられる対策

• 正しい手順によるリクエストのみ受け付けるよう識別情報を設定する。
• 登録制サイトの操作中は、むやみに他サイトのリンクをクリックしない。操作が終了した場合は、必ずログアウトを実行する。

SQLインジェクション

データベースへの問い合わせを行うWebアプリケーションにおいて、ユーザから入力された情報を不用意にデータベース問い合わせ文（SQL文）に利用することにより、アプリケーションの意図しない結果を表示させてしまうこと。
または、上記のようなアプリケーションの脆弱性を悪用して意図的にデータベース操作およびWebアプリケーションを攻撃する行為のこと。
Webアプリケーションで、もっとも狙われる脆弱性のひとつ。

考えられる対策

• 不正なリクエスト（ユーザからの入力）によって、発行するSQL文の構文を書き換えられないように処理する（プログラムする）。
• 詳細なエラーメッセージの抑止
• データベースアカウントの権限見直し