舊版(2013)
A1 注入 Injection
A2 失效的身份認證和會話管理
A3 跨站腳本-XSS
A4 直接引用不安全的對象
A5 安全配置錯誤
A6 敏感信息泄露
A7 缺少功能級訪問控制
A8 跨站請求僞造 CSRF
A9 使用含有已知漏洞的組件
A10 未驗證的重定向和轉發
新版(2017)
A1 注入 Injection
A2 失效的身份認證
A3 敏感信息泄露
A4 XML外部實體(XXE)
A5 失效的訪問控制
A6 安全配置錯誤
A7 跨站腳本(XSS)
A8 不安全的反序列化
A9 使用含有已知漏洞的組件
A10 不足的日誌記錄和監控