A 身份认证类

A-1 未提供专用的登录控制模块

A-2 未强制要求口令强度

A-3 未对同一用户采用组合鉴别技术

A-4 未提供登录失败处理机制

B 权限管理类

B-1 未严格限制账户权限

B-2 未进行特权账户权限分离

B-3 未提供安全审计模块

C 数据安全类

C-1 重要系统未采用加密数据传输

C-2 系统未进行输入校验

C-3 系统不具备自动保护功能

D 资源控制类

D-1 未提供登录超时处理机制

D-2 系统未限制最大连接数

D-3 未限制单个账户资源限额

D-4 未设置用户优先级

E 安全漏洞

E-1 跨站脚本漏洞

E-2 SQL注入漏洞

E-3 跨站请求伪造漏洞

E-4 缓冲区溢出漏洞

E-5 拒绝服务攻击漏洞

E-6 恶意文件上传漏洞

E-7 会话管理设计漏洞

E-8 不安全的直接对象引用漏洞

E-9 安全配置漏洞

E-10 加密措施不当

E-11 URL地址访问控制不当

E-12 目录遍历漏洞

E-13 异常错误信息处理不当

E-14 应用传输层保护不足

E-15 Web页面重定向漏洞