SQL Injection 脆弱性を指摘したら「ユーザ認証あって履歴は全部残る」と返される。一瞬納得しかけたけど、よく考えるとそれ CSRF には無力だなぁ。
まぁ、社内ネットワークからじゃないと見えないページでそんなに心配してもコストはペイしない気はするが、元 Web 屋*1としては気になるなぁ。