源代码设计

不安全的域、方法、类修饰符未使用的外部引用、代码。

错误处理不当

程序异常处理、返回值用法、空指针、日志记录。

直接对象引用

直接引用数据库中的数据、文件系统、内存空间。

系统所用开源框架

包含java反序列化漏洞，导致远程代码执行。Spring、Struts2的相关安全。

应用代码关注要素

日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。

API滥用

不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用

资源滥用

不安全的文件创建／修改／删除，竞争冲突，内存泄露。

业务逻辑错误

欺骗密码找回功能，规避交易限制,越权缺陷Cookies和session的问题。

规范性权限配置

数据库配置规范，Web服务的权限配置SQL语句编写规范。