11、未知代码

开发人员经常给大型程序插入第三方源代码来获得某些功能。如果他们不检查这些代码的真正来源，或者没有充分验证这些代码的安全性，无异于植入了一颗定时炸弹。

未知代码

12、数据的权限和保护问题

文件，程序和数据存储，不需要有多余的权限。如果它们仅仅是简单的文档读写，也无需太多权限设置。同样的道理也适用于敏感数据。不应该使用加密算法，使得问题变得更糟糕。

数据的权限和保护问题

13、身份验证次数

“如果一开始你没有成功，尝试再试一次”，攻击者试图蛮力登录时也会如此考虑。各大网站都多次登录的用户名都不会采取锁定的措施。这就给攻击者提供了反复猜测不同密码的机会，直到他们满载而归。考虑到很多用户都使用极其简单的密码，因此，攻击者往往轻而易举就可以实现自己的目的。

身份验证次数

14、重定向

攻击者可以指定用户点击被重定向到任意URL的非法链接。受害者被重定向到一个恶意网站后，会被诱使或者植入恶意软件，中招的用户信息会被泄漏，甚至还会导致拒绝服务攻击。

重定向

15、缓冲区、字符串和整数问题

另一个资源管理问题涉及到内存和程序变量不能有效得到保护。该漏洞可以使得攻击者修改输入输出并执行并非应用程序发出的代码。

缓冲区、字符串和整数问题

(责任编辑：)