OWASP TOP10

A1-注入   

A2-跨站脚本（XSS）  

A3-错误的认证和会话管理 

A4-不安全的直接对象引用  

A5-伪造跨站请求（CSRF）     -- Cross-Site Request Forgery

A6-安全性误配置

A8-未验证的重定向和传递 

A9-不安全的加密存储   

A10-不足的传输层保护

排在第六位的是不当的安全配置，事实上，这个问题可能存在于Web应用的各个层次，譬如平台、Web服务器、应用服务器，系统框架，甚至是代码中。开发人员需要和网络管理人员共同确保所有层次都合理配置，有很多自动化的工具可以用于查找是否缺少补丁，错误的安全配置，缺省用户是否存在，不必要的服务等等。

这个漏洞往往使得攻击者能够访问未被授权的系统数据和功能，甚至有时，会导致整个系统被破坏。

其实说这个漏洞该怎么防范并没有什么实际的措施，唯一的方法就是尽可能的对你的系统的所有方面都做好安全配置。

         验证你的系统的安全配置

         可使用自动化的安全配置向导；

         必须覆盖整个平台和系统；

         对所有组件都必须保证安装了最新的补丁；

         完善分析变更带来的安全影响

         对所有你做的安全配置进行记录

         使用自动化扫描工具对你的系统进行验证。