转
1.输入验证不当
2.不适当的编码或输出逃逸
3. SQL查询结构维护失败( SQL注入)
4.网页结构维护失败(跨站点脚本攻击)
5.操作系统指令结构维护失败(操作系统命令注入)
6.明文传输敏感信息
7.伪造跨站点请求
8.紊乱情况
9.错误信息泄露
10.内存缓冲区边界限制失败
11.外部控制临界状态数据
12.外部控制文件名或路径
13.不可信的搜索路径
14.代码生成控制失败(代码注入)
15.代码下载没有完整性检查
16.关闭或释放资源不当
17.初始化不当
18.计算不正确
19.防御出现多个漏洞
20.使用失效的或危险的加密算法
21.硬编码(Hard-coded)密码
22.为关键资源赋予不安全的操作权限
23.使用不充分的随机值
24.采用不必要的权限进行执行
25.把服务器端的安全放在客户端执行
浙公网安备 33010602011771号