Web和APP應用，可以按照下面的方案進行，這個方案其實算一個全方位的安全審計。我只是把目錄列了出來，詳細的測試工具和方法可以自行搜尋。測試物件：伺服器、Servlet容器、資料庫、第三方服務及介面、Web應用程式。應用程式部署環境（伺服器）：

作業系統使用者名稱及密碼強度作業系統使用者、使用者組及許可權設定系統漏洞及補丁系統埠安全應用部署環境目錄及檔案安全防火牆及網路埠設定資料庫（主要對資料庫的授權、賬戶、口令等安全設定及資料庫環境安全等進行測試）：資料庫伺服器版本及漏洞使用者名稱、密碼設定資料庫使用者許可權設定及授權設定資料庫伺服器埠及網路連線設定（關閉公網訪問及不必要的埠）Web應用安全測試及工具：SQL注入（SQL Inject Me）表單漏洞Cookie欺騙Session測試日誌檔案測試第三方介面服務安全測試跨站指令碼攻擊（ZAP）認證及會話攻擊（Hackbar）不安全物件直接引用攻擊(Burp)CSRF(Tamper Data)安全配置錯誤（Watobo）加密儲存不限制訪問者URL(Nikto/Wikto)傳輸層面安全隱患（Calomel）未經驗證的重定向及轉發（Watcher）檔案操作命令注入測試第三方服務介面及介面測試（例如簡訊、郵件、支付、APP Push等服務）：系統/服務版本及漏洞安全性配置測試資料傳輸安全性測試資料合法性測試資料完整性測試APP介面安全：請參考APP介面安全測試要點：APP介面安全設計要點 - 程式設計師作戰手冊 - 知乎專欄