根据 OWASP 前十页：

• OWASP 前十名代表了对最关键的 Web 应用程序安全漏洞是什么的广泛共识。项目成员包括来自世界各地的各种安全专家，他们分享了他们的专业知识来制作此列表。

更新版本考虑了行业和 OWASP 成员的评论，以尽可能地相关。

如果您确实需要统计数据来帮助您评估与您相关的前十名，我在 2010 年 10 月向 ISACA 苏格兰介绍了小型企业可以解决的前七大问题。

作为我演讲的背景，我使用了这三份报告中的数据：

• Verizon 数据泄露报告
• Krebs Java 安全报告
• WHID 安全报告

我希望这对你有一些用处。

最新版本 OWASP T10 2010 考虑了风险因素，包括潜在损害。请参阅此处以获取更多说明。
Fe XSS 被认为比 SQL 注入更常见，但来自 SQLi 的损害可能要严重得多——因此 SQLi 是#1，而 XSS 则降为 #2。

早期版本的 OWASP T10没有考虑到这一点 - 不涉及任何因素，只是过滤 MITRE 数据以查找相关的 Web 应用程序漏洞。

除了 OWASP 的前 10 名（这确实是一个很好的起点）之外，您还应该查看SANS 前 25 名“最危险的软件错误”（不限于 Web）。
这实际上只是MITRE 的常见弱点枚举 (CWE) 列表中的前 25 名（这基本上是程序员代码中发现的所有类型的常见缺陷的完整列表......

观看 Dave Wichers 的 OWASP 播客第 82 集。他回答了这个问题。