1、安全体系测试；

1)部署与基础结构；

网络是否提供了安全的通信。

部署拓扑结构是否包括内部的防火墙。

部署拓扑结构中是否包括远程应用程序服务器。

基础结构安全性需求的限制是什么。

目标环境支持怎样的信任级别。

2)输入验证；

如何验证输入。

A、是否清楚入口点。

B、是否清楚信任边界。

C、是否验证Web页输入。

D、是否对传递到组件或Web服务的参数进行验证。

E、是否验证从数据库中检索的数据。

F、是否将方法集中起来。

G、是否依赖客户端的验证。

H、应用程序是否易受SQL注入攻击。

I、应用程序是否易受XSS攻击。

3)身份验证；

是否区分公共访问和受限访问。

是否明确服务帐户要求。

如何验证调用者身份。

如何验证数据库的身份。

是否强制试用帐户管理措施。

4)授权；

如何向最终用户授权。

如何在数据库中授权应用程序。

如何将访问限定于系统级资源。

5)配置管理；

是否支持远程管理。

是否保证配置存储的安全。

是否隔离管理员特权。

6)敏感数据；

是否存储机密信息。

如何存储敏感数据。

是否在网络中传递敏感数据。

是否记录敏感数据。