框架低版本漏洞 @b@@b@    空指针的引用 @b@@b@    整数溢出 @b@@b@    命令注入 @b@@b@    SQL注入 @b@@b@    XSS @b@@b@    CSRF @b@@b@    跳转漏洞 @b@@b@    HTTP Response Splitting漏洞 @b@@b@    路径可控制 @b@@b@    代码注入 @b@@b@    Xpath注入 @b@@b@    资源泄露 @b@@b@    对象相等、序列化、线程安全等 @b@@b@    高风险函数－无替代函数 @b@@b@    不推荐的用法及防范 @b@@b@    ProcessBuilder可能允许攻击者执行代码 @b@@b@    敏感调用的方法要标记为final @b@@b@    执行数据库查询前设置查询类型为只读 @b@@b@    实现Serializable接口时要定制序列化协议 @b@@b@    限制特权代码的可访问性 @b@@b@    确保SecurityManager权限检查的完整性 @b@@b@    避免public static final数组声明 @b@@b@    限制字段最大长度 @b@@b@    避免使用Thread的stop方法 @b@@b@    要新抛出ThreadDeath异常 @b@@b@    确保锁在发生异常时被正确释放 @b@@b@    避免在获取锁后调用sleep方法 @b@@b@    避免在finally块中抛出异常 @b@@b@    不要依赖isSecure()方法来传递敏感信息 @b@@b@    显式清除不需要的敏感信息 @b@@b@    确保密码学加密算法密钥强度 @b@@b@    避免使用过时的加密算法 @b@@b@    避免使用不安全的填充(Padding)模式 @b@@b@    避免使用弱初始化向量(Initialization Vector) @b@@b@    不要将多类URL映射到同一个Servlet @b@@b@    不要在配置文件中存放敏感信息 @b@@b@    确保Servlet有名字并正确配置