| A01 | Broken Access Control | Controllers/guards sem ownership check |
| A02 | Cryptographic Failures | Senhas em plaintext, TLS opcional, secrets fracos |
| A03 | Injection | SQL concatenado, eval, comandos shell com input |
| A04 | Insecure Design | Falta rate limit, falta auth em endpoint sensível |
| A05 | Security Misconfiguration | Docker root, debug mode em prod, headers ausentes |
| A06 | Vulnerable Components | npm audit/pip audit sem revisão |
| A07 | Auth Failures | Token sem expiração, login sem throttle, senha fraca |
| A08 | Software Integrity Failures | CI/CD sem signing, deps de fonte não confiável |
| A09 | Logging & Monitoring Failures | Sem audit trail, PII em log |
| A10 | SSRF | Fetch de URL vinda do user sem allowlist |