внедрение вредоносного кода;
некорректная аутентификация и управление сессией;
межсайтовый скриптинг (XSS);
небезопасные прямые ссылки на объекты;
небезопасная конфигурация;
утечка чувствительных данных;
отсутствие контроля доступа к функциональному уровню;
подделка межсайтовых запросов (CSRF);
использование компонентов с известными уязвимостями;
невалидированные редиректы.
*по данным OWASP на 2013 год