1.注入 2.跨站脚本(XSS) 3.错误的认证和会话管理 4.不正确的直接对象引用 5.伪造跨站请求(CSRF) 6.安全性误配置 7.限制远程访问失败 8.未验证的重定向和传递 9.不安全的加密存储 10.不足的传输层保护