あとで読む。OWASPの2010年のTOP 10が出ています。

OWASP Top 10 for 2010 日本語
少しだけ日本語に訳して、補足説明を付けてみました

• A1: インジェクション
  • SQLインジェクションやOS、LDAPインジェクションなど
• A2: クロスサイトスクリプティング (XSS)
• A3: 不完全な認証とセッション管理
  • 認証とセッション管理に関連した機能が適切に実装されていない。
• A4: セキュアではないオブジェクトの直接参照
  • アクセス制御などがないため、本来見えないはずのファイルやデータベースなどに直接アクセス可能な状態
• A5: クロスサイトリクエストフォージェリ (CSRF)
• A6: セキュリティ設定の間違い
  • アプリケーションやフレームワーク、各種サーバーに適切なセキュリティの設定が施されていない。また最新版が維持されていない。
• A7: セキュアではない暗号ストレージ
  • 適切な暗号化やハッシュを使っていないためクレジットカード番号などの機密情報が守られていない。
• A8: URLアクセス制限の不備
  • 本来アクセス制限されていて見えないはずのページがURLを指定することで見えてしまう。またURLを隠すこと（攻撃者に知られないこと）を前提としたセキュリティに頼っている。
• A9: 不十分なトランスポート層の保護
  • 適切にSSL/TLSを使って保護していない。弱いアルゴリズムを使っていたり、期限切れなどの無効な証明書を使っている。
• A10: セキュアではないリダイレクトとフォワード
  • 攻撃者が指定したURLにリダイレクトできるオープンリダイレクターの状態になっているなど。

2010年版のOWASP Top 10 公開、Webアプリ脆弱性トップ10 - うさぎ文学日記