A01

存取控制失效
(Broken Access Control)

• 未經授權存取他人資料
• 繞過存取控制檢查
• URL參數竄改
• API權限設定不當

A02

加密機制失效
(Cryptographic Failures)

• 敏感資料未加密傳輸
• 使用過時或脆弱的加密演算法
• 金鑰管理不當
• 密碼雜湊未加鹽

A03

注入式攻擊
(Injection)

• SQL注入
• NoSQL注入
• OS命令注入
• LDAP注入

A04

不安全設計
(Insecure Design)

• 缺乏威脅建模
• 業務邏輯缺陷
• 安全需求不完整
• 風險評估不足

A05

安全配置錯誤
(Security Misconfiguration)

• 預設密碼未修改
• 錯誤訊息過度洩露
• 未更新的系統套件
• 不必要的功能未關閉

A06

危險或過時元件
(Vulnerable Components)

• 使用具有已知漏洞的元件
• 未定期更新相依套件
• 客戶端函式庫過時
• 未掃描漏洞

A07

識別與認證失效
(Authentication Failures)

• 允許弱密碼
• 多因素認證缺失
• Session管理不當
• 密碼重設機制脆弱

A08

軟體與資料完整性失效
(Software Integrity Failures)

• 未驗證更新完整性
• 使用不受信任的儲存庫
• CI/CD管道未受保護
• 未簽署的程式碼

A09

安全記錄與監控失效
(Logging Failures)

• 關鍵操作未記錄
• 日誌儲存不安全
• 缺乏即時警報
• 無入侵偵測

A10

伺服器請求偽造
(SSRF)

• 未驗證URL
• 允許存取內部資源
• 繞過防火牆
• 雲端中繼資料存取