นอกจาก OWASP Top 10 แล้ว ยังมีการจัดอันดับจาก CWE Top 25 (Common Weakness Enumeration) อีกด้วย ซึ่งจะครอบคลุมการพัฒนาระบบแอพพลิเคชั่นในทุกแพลตฟอร์ม ไม่จำกัดเฉพาะบนเว็บเท่านั้น
CWE Top 25
CWE (Common Weakness Enumeration) เป็นชุดรายการจุดอ่อนที่ถูกค้นพบได้ในทุกระบบ ทั้งฮาร์ดแวร์และซอฟต์แวร์ ซึ่งเป็นโครงการจัดทำและเผยแพร่โดย The MITRE Corporation (MITRE) ซึ่งเป็นหน่วยงานที่รับการสนับสนุนจาก the U.S. Department of Homeland Security (DHS) Cybersecurity และ Infrastructure Security Agency (CISA)
2. Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’): หรือช่องโหว่ Cross-Site Scripting (XSS) ที่แฮคเกอร์อาศัยการแทรกโค้ดหรือสคริปต์อันตรายหรือล้วงเอาข้อมูลใด ๆ จากการรันคำสั่งที่แทรกเข้าไปผ่านเว็บแอพพลิเคชั่นที่มีจุดอ่อนนี้
3. Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’): เป็นช่องโหว่แอพพลิเคชั่นที่มีการใช้ input มาเป็น where clause โดยตรง โดยไม่ได้มีการตรวจสอบ หรือจัดทำการเรียกใช้คำสั่ง SQL ที่ปลอดภัย เช่น Prepared Statements หรือ Stored Procedures ที่มีโครงสร้างเหมาะสม
4. Use After Free: เป็นปัญหาของการที่โปรแกรมปล่อยให้เกิดกรณีที่สามารถเข้าถึงหน่วยความจำที่ deallocate ไปแล้ว เช่น การไม่ทำลาย pointer ที่เคยชี้ไปตำแหน่งนั้น กรณีแบบนี้อาจทำให้ส่งผลข้อมูลไม่ถูกต้อง หรือถูกนำไปใช้แทรกโค้ดที่เป็นประโยชน์กับแฮคเกอร์
5. Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’): เป็นการแทรกคำสั่ง OS เข้าสู่ระบบ ซึ่งเป็นช่องโหว่หากไม่ได้มีการตรวจสอบ input อาจทำให้มีคำสั่งที่เป็นอันตรายแนบมาได้ หรือการที่ระบบไม่จำกัดสิทธิ หรืออนุญาตให้คำสั่งที่เข้ามารันด้วย root เสมอ หากไม่มีมาตรการที่ปลอดภัย และปล่อยให้คำสั่งแปลกปลอมหลุดเข้ามาก็ทำให้เกิดความเสียหายได้
10. Unrestricted Upload of File with Dangerous Type: การไม่ตรวจสอบชนิดไฟล์ที่รับเข้าหรือการเลือกใช้ Data Store ที่ไม่มีการกำหนดชนิดไฟล์จัดเก็บ ทำให้มีโอกาสได้รับไฟล์ที่เป็นภัยคุกคามเข้าในระบบ และแฮคเกอร์อาศัยไฟล์นั้นในการทำงานอื่น ๆ ต่อไป