OpenSSL漏洞的公开，导致众多大型互联网厂商遭殃。

A3-系统错误/逻辑缺陷带来的暴力猜解

由于应用系统自身的业务特性，会开放许多接口用于处理数据，如果接口或功能未进行严谨的安全控制或判断，将会促进骇客加快攻击应用程序的过程，大大降低了骇客发现威胁的人力成本。随着模块化的自动化攻击工具包越来越趋向完善，将给应用带来最大的威胁。经典案例：

WooYun: 大公司诟病系列#1 重置京东任意用户密码

京东员工邮箱登陆外网可访问，导致暴力猜解出众多员工邮箱弱密码。

A4-敏感信息/配置信息泄露

由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露，攻击者可能会通过收集这些保护不足的数据，利用这些信息对系统实施进一步的攻击。经典案例：

WooYun: 携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)

用户敏感信息放在Web目录，导致可以直接下载。

A5-应用错误配置/默认配置

数应用程序、中间件、服务端程序在部署前，未针对安全基线缺乏严格的安全配置定义和部署，将为攻击者实施进一步攻击带来便利。常见风险：flash默认配置，Access数据库默认地址，WebDav配置错误，Rsync错误配置，应用服务器、Web服务器、数据库服务器自带管理功能默认后台和管理口令。经典案例：

WooYun: 敏感信息泄露系列#6 服务端默认配置导致海量用户信息泄露 (目测酷狗有3.6亿用户)

备份数据库可以直接浏览到并下载。

A6-SQL注入漏洞

注入缺陷不仅仅局限于SQL，还包括命令、代码、变量、HTTP响应头、XML等注入。程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，当不可信的数据作为命令或查询的一部分被发送到解释器时，注入就会发生。攻击者的恶意数据欺骗解释器，让它执行意想不到的命令或者访问没有准确授权的数据。经典案例：