旧版(2013)
A1 注入 Injection
A2 失效的身份认证和会话管理
A3 跨站脚本-XSS
A4 直接引用不安全的对象
A5 安全配置错误
A6 敏感信息泄露
A7 缺少功能级访问控制
A8 跨站请求伪造 CSRF
A9 使用含有已知漏洞的组件
A10 未验证的重定向和转发
新版(2017)
A1 注入 Injection
A2 失效的身份认证
A3 敏感信息泄露
A4 XML外部实体(XXE)
A5 失效的访问控制
A6 安全配置错误
A7 跨站脚本(XSS)
A8 不安全的反序列化
A9 使用含有已知漏洞的组件
A10 不足的日志记录和监控