http://www.sans.org/top25errors/?utm_source=web&utm_medium=text-ad&utm_content=Announcement_Bar_20090111&utm_campaign=Top25&ref=37029#s4
トップ25の内容
スラドにもコメントしたが、訳した

コンポーネント間のセキュアでないアクセス

• 入力の検証忘れ(数値か文字列かのチェックなど)
• 出力のエスケープ忘れ(制御情報とデータの分離を忘れるなど)
• SQLインジェクション
• クロスサイトスクリプティング
• OSコマンドインジェクション
• 重要情報の平文通信
• CSRF
• 競合状態(レースコンディション)
• エラーメッセージ漏れ

危険なリソースマネジメント

• バッファ内で操作が制限されていない
• クリティカルセクションに外部からの変更ができる
• ファイル名、ファイルパスに外部からの変更ができる
• 信頼されていない検索パス(検索によって設定ファイルなどが検出できる)
• コードインジェクション
• チェックが不完全な(悪意の改竄のある)コードのダウンロード
• リソース開放忘れ
• 初期化忘れ
• 不正確な算術(整数掛け算のオーバフロー、浮動小数点演算の丸め誤差など)

穴の多い防御

• 認証忘れ
• 脆弱性のある暗号アルゴリズムの使用
• ハードコーディングされたパスワード
• 重要資源への不適切なアクセス制限
• 不十分な乱数の使用
• 不必要な特権を使った実行
• クライアントサイドに依存したサーバセキュリティ(リバースエンジニアリングを使っ>たなりすましの危惧)