一般的になってしまって麻痺しているっていうのもあるのかもしれませんが。

「うちはセキュリティに対するリテラシーは高いよ。セキュリティテストもしてるし。」なんて言っている現場に入りましたが、空いている時間に開発環境で軽くテストしただけでXSSできました。何をテストしてるのでしょうね？

で、太郎ちゃんの法則により、1つ見つかったということは他にも数箇所あることになるのですが、対応を見ている限り危機感なんてないようです。

やっぱり実際に被害を受けないと考えを改めないのでしょうか。

もちろんサイトに対する攻撃は犯罪なのですが、「脆弱性のあるサイトを公開していて攻撃された」っていうのは、「鍵をかけずに空き巣に入られた」って言っている人並みに残念な気がします。

セキュリティの理解度をペーパーテストで測るのは良いと思いますが、素人に問題作らせない方が良いです。
さらに残念なことになります。

今一度セキュリティを見直してみてはどうでしょうか。