1. 跨站點腳本攻擊(4)
2. SQL注入(3)
3. 經典緩衝區溢出(1)
4. 跨站點請求僞造(7)
5. 不正確的訪問控制(授權)
6. 在安全決策中依賴不可信的輸入
7. 不正確地將路徑名限制爲受限路徑
8. 上傳危險類型的文件不受限
9. 操作系統命令中特殊因素的處理不正確(操作系統命令注入)(5)
10. 敏感信息未加密(6)
11. 使用硬編碼憑據(21)
12. 以不正確的長度值訪問緩衝區
13. PHP程序中Include/Require語句文件名控制不正確(PHP文件侵入)
14. 數組下標驗證不正確
15. 異常條件檢查不正確
16. 錯誤消息泄露信息(9)
17. 整數溢出
18. 緩衝區大小計算錯誤
19. 關鍵函數缺乏身份驗證
20. 下載未經完整性檢查的代碼(15)
21. 對關鍵資源的錯誤權限分配(22)
22. 資源分配沒有限制
23. URL重導向到不受信的資源
24. 使用被破解或有風險的加密算法(20)
25. 存在競爭情況(Race condition)(8)
其中後加括號有數字的,是該項錯誤去年的排名。顯然,連續兩年都入選的錯誤,千萬不要再犯了。
另外,我們對比了去年前25名名單,列出今年落榜的錯誤如下,相信這些錯誤仍然具有相當的風險性。
2. 不正確的編碼或轉義輸出
10. 限定緩衝區內操作失敗
11. 外部控制重要狀態數據
12. 外部控制文件名或路徑
13. 不可信搜索路徑
14. 控制代碼生成錯誤(代碼注入)
15. 錯誤的資源關閉或發佈
17. 不正確的初始化
18. 錯誤計算
19. 可滲透防護
23. 隨機值的錯誤利用
24. 濫用特權操作
25. 客戶端執行服務器端安全