每年的这个时候，我们总是淹没在各种各样的十大排行中，这会让我们有很多的收获，当我们想在正确的方向上开始一年的道路的时候，这些排行榜就体现了它的价值。基于同样的原因，我也列出一个易于被黑的排行榜，帮助大家(也包括管理者)能够在新的一年里抵御住各种各样的web相关的安全攻击。一些是技术相关问题，一些是操作方面的，排名不分先后：

1. 在应用程序中，不要为强制强壮类型密码所困扰，也不要把入侵者挡在门外。把他们当成你的普通用户，造成的影响也仅仅是客户投诉电话的增多。

2. 安装上Web应用层防火墙后，忽视已知的SQL注入情况，以及与之相似的各种问题。

3. 不用理会Oracle突然蹦出来的无意义的漏洞，某些人会在某些时候在服务器上装好补丁。

4. 在开发阶段，QA阶段，甚至PII阶段使用真实的产品数据，理想的情况下，不要给你的开发和QA服务器打补丁，仅使用弱的或是系统默认的密码，并向不怀好 意的内部人员打开服务器共享，帮助他们获得进入服务器的路径。如果同样的情况应用在连接互联网的服务器上也是很好的。

5. 假设一下，和其他的服务器一样，网络上的恶意软件也不会真的影响你的程序源码。那样不在你的服务器上安装反恶意软件就又多了一个好处。它们只是会让服务器的运行速度减低一些。

6. Web服务对黑客是隐藏着的，所以不需要测试它们是怎么防御攻击的。

7. 不要去手动测试服务器应用的缺陷，甚至都不要开启web漏洞扫描器验证机制。它太浪费时间了，也太费脑筋了。

8. 人们通过审计报告来获得他们渴望知道的安全问题，如果你对卖方回应他们的系统如他们承诺的一样有效并把这些体现在审计报告中，卖方是会非常高兴的。

9. 如果你足够幸运有律师打理你的商业事务，让他或她全权处理影响你的Web应用的所有相关商业合同。从持有SLA到软件开发合同，法律顾问委员会能够很好的处理这些商业问题，就不用把IT也卷进来了。

10. 把你的注意力全部投入在取悦你的经理和各个审计师身上。只要他们一直心情愉悦，这就说明整个系统的安全状况良好。

        说真的，这些问题都在我的工作中真实发生过的，也正是你要努力去避免的。无论你怎么认为，Web应用安全是你经历的信息安全行业中重要而基本的一步。迎接这个伟大而安全的新一年吧。