1. 跨站点脚本攻击(4)
2. SQL注入(3)
3. 经典缓冲区溢出(1)
4. 跨站点请求伪造(7)
5. 不正确的访问控制(授权)
6. 在安全决策中依赖不可信的输入
7. 不正确地将路径名限制为受限路径
8. 上传危险类型的文件不受限
9. 操作系统命令中特殊因素的处理不正确(操作系统命令注入)(5)
10. 敏感信息未加密(6)
11. 使用硬编码凭据(21)
12. 以不正确的长度值访问缓冲区
13. PHP程序中Include/Require语句文件名控制不正确(PHP文件侵入)
14. 数组下标验证不正确
15. 异常条件检查不正确
16. 错误消息泄露信息(9)
17. 整数溢出
18. 缓冲区大小计算错误
19. 关键函数缺乏身份验证
20. 下载未经完整性检查的代码(15)
21. 对关键资源的错误权限分配(22)
22. 资源分配没有限制
23. URL重导向到不受信的资源
24. 使用被破解或有风险的加密算法(20)
25. 存在竞争情况(Race condition)(8)
其中后加括号有数字的,是该项错误去年的排名。显然,连续两年都入选的错误,千万不要再犯了。