1)、SQL注入
2)、失效的身份验证和会话管理
例如一个链接:jsesessionid=xxxxxxx,如果该session未失效,或未设置超时失效,则别人可以直接通过改该session访问别人的session。
3)、跨站脚本XSS
4)、引用不安全的对象
例如: 用户1 ID的地址为http://www.xxx.com/news.php/?id=100,如果改为 http://www.xxx.com/news.php/?id=888,就可以可看到用户ID为888的用户信息。
5)、安全配置错误
6)、敏感信息泄露
7)、缺少功能级访问控制
8)、跨站请求伪造
伪造来自受信任用户的请求来利用受信任的网站
9)、使用含有已知漏洞的组件
10)、未验证的重定向和转发
伪造钓鱼URL登。。
原文:http://www.cnblogs.com/fuchuanfeng/p/6294013.html