应用威胁                  负面影响                  后果
跨站脚本*** 标识盗窃,敏感数据丢失 ***可以模拟合法用户,控制其帐户
SQL注入*** 通过构造查询对数据库、LDAP和其他系统进行非法查询 ***可以访问后端数据库信息,修改、盗窃
恶意文件执行 在服务器上执行Shell命令Execute,获取控制权 被修改的站点将所有交易传送给***
不安全对象引用 ***访问敏感文件和资源 Web 应用返回敏感文件内容
伪造跨站点请求 ***调用Blind动作,模拟合法用户 ***发起 Blind 请求,要求进行转帐
信息泄露和不正确的错误处理 ***得到详细系统信息 恶意的系统检测可能有助于更深入的***
被破坏的认证和Session管理 Session token没有被很好的保护 在用户推出系统后,***能够盗窃 session
不安全的***存储 过于简单的加密技术导致***破解编密码 隐秘信息被***解密盗窃
不安全的通讯 敏感信息在不安全通道中以非加密方式传送 ***可以通过嗅探器嗅探敏感信息。模拟合法用户
URL访问限制失效 ***可以访问非授权的资源连接 ***可以强行访问一些登陆网页、历史网页



原文:http://zhengj3.blog.51cto.com/6106/290728