一個完整的web安全測試能從布署和基礎設施建設、鍵入認證、身份認證、受權、軟件配置管理、隱秘數據、對話管理方法、數據加密等層面開展。主要參數實際操作、出現異常管理方法、財務審計和日志紀錄。

布署拓撲結構是不是包含遠程控制應用軟件網絡服務器

D、 傳送給部件或web服務的技術參數是不是通過認證

web應用系統的安全從應用的視角能夠分成運用級安全性和傳送級安全性，安全系數測試還可以從這2個層面下手。

運用級安全性測試的首要目的是找到web系統本身編程設計中存在著安全風險。關鍵測試地區如下所示。

申請注冊與登陸：現階段的web應用系統大部分采用先申請注冊后登陸的方法。

D、 能否在不登錄的情況下立即訪問網頁頁面。

線上請求超時：web應用系統是不是有請求超時限定，即客戶在登錄后一定期限內（如15min）并沒有點一下一切網頁頁面，是不是必須重新登錄才可以正常啟動。

實際操作追蹤：為了確保web應用系統的安全性，日志文件非常重要。必須測試有關信息是不是載入日志文件，能否追蹤。

備份和恢復：為了避免因為系統出現意外奔潰而產生的內容丟失，備份和恢復方式是web系統的一項必需作用。依據數據備份和徹底備份數據的規定，系統能夠選用數據備份和徹底備份數據等多種方式。以便達到更強的安全要求，一些即時系統一般選用雙熱備或多級別熱備。除去對這種備份和恢復方式實現認證測試外，還應分析這種備份和恢復方式是不是達到web系統的安全要求。

傳送級安全性測試是考慮到web系統傳送的獨特性，關鍵測試數據信息從手機客戶端傳送到遠程服務器很有可能存在著網絡安全問題，及其網絡服務器避免非法訪問的水平。一般測試新項目包含下列這幾個層面。

HTTPS和SSL測試：默認設置前提下，securehttp（sourehttp）根據securesocketssl（源tcp協議層）協議書在端口號443上采用一般http。公匙的數據加密長短取決于HTTPS的安全等級，但從某種程度上講，安全是以特性損害為結果的。除開測試數據加密是否正確，檢查信息的完好性，確定HTTPS的安全等級外，需注意其功能能否達到該安全等級下的規定。

服務端腳本制作系統漏洞查驗：存在于服務端的代碼通常組成網絡安全問題，常常被網絡黑客運用。因而，人們還應當測試腳本制作不可以在未經授權的前提下置放和編寫服務端的難題。

服務器防火墻測試：防火墻是一種主要運用于避免非法訪問的無線路由器。它是web系統中常見的安全性系統。服務器防火墻測試是一個技術專業的大課題研究。這兒所涉及到的僅僅對防火墻的作用和設定開展測試，以分辨該web系統的安全需求。