OWASP TOP10

1）、SQL注入

2）、失效的身份验证和会话管理　　

例如一个链接：jsesessionid=xxxxxxx，如果该session未失效，或未设置超时失效，则别人可以直接通过改该session访问别人的session。

3）、跨站脚本XSS

4）、引用不安全的对象

例如： 用户1 ID的地址为http://www.xxx.com/news.php/?id=100，如果改为 http://www.xxx.com/news.php/?id=888，就可以可看到用户ID为888的用户信息。

5）、安全配置错误

6）、敏感信息泄露

7）、缺少功能级访问控制

8）、跨站请求伪造

伪造来自受信任用户的请求来利用受信任的网站

9）、使用含有已知漏洞的组件

10）、未验证的重定向和转发

伪造钓鱼URL登。。