OWASP 有所谓的十大项目，它显示了哪些是最受欢迎的漏洞。但是，您永远不应该只限于那里列出的那些检查。我从不喜欢它的声音——“告诉我前 10 个漏洞”。非常相似的答案在这里：http: //questions.securitytube.net/questions/1764/top-3-c-security-concerns，意思是哲学。第一段充分表达了我的观点。让我引用：

如果您的目的是编写安全代码，那么我建议您避免诸如“top10 漏洞”之类的问题。只关注某些需要的错误是没有意义的，因为如果您的 C/C++ 知识薄弱并且您有少量编程经验。

如果您有任何类型的数据库交互，SQL 注入是一个大问题，并且相对容易测试。跨站点请求伪造 (CSRF) 是另一个我不会放弃的。检查文件规范化攻击也是一个好主意，特别是如果您支持任何类型的用户上传或下载。

其余的实际上取决于您的应用程序、它包含的数据类型以及用户是谁。

如果我真的对时间很挑剔，我会确保我的申请经过以下检查：

• 输入卫生！在底层系统使用数据之前，找到一个好的库来清理数据。XML-、SQL-、Html-、命令注入太危险了！
• CSRF
• 上传可能性需要关注不允许路径遍历和上传被服务器解析的恶意脚本

我会关心“蛮力”的能力。当然，用户需要强密码，而且目录结构和文件总是可以被暴力破解。请记住，默默无闻的安全性不能单独发挥作用:)

我认为 Ams 是对的，但就您最大的曝光率而言，值得查看统计数据。查看 Verizon 数据泄露报告、Krebs Java 安全报告和WHID 安全报告，了解有关 Internet 上实际发生的攻击的一些重要信息来源。