安全：一个产品一个网站需要加强安全防范的就是数据库。那么如果缺少安全性测试，在高手的SQL盲注下，你的数据库就会逐步展现在陌生人面前，无论是数据库类型、表结构、字段名或是详细的用户信息，都有无数种手段可以让个人或企业毫无秘密可言。

权限：网站一般都规定了职级决定的权限。例如一个招聘软件，管理员可以上传并修改企业信息，但普通用户就不能随意修改企业信息。这就是简单的权限。如果少了安全性保证，那么就容易有人跳出权限做他不该做的事情。

修改提交数据信息：比如一个支付商城，如果通过抓包抓到的提交价格，经过修改再发包可以通过。简单来说就是本来 100 块钱买的东西，抓包修改为 1 块就能成功购买。这就成了一个巨大的隐患。

类似跨站脚本的安全隐患：HTML 注入，所有 HTML 注入范例只是注入一个 JavaScript 弹出式的警告框：alert 。做坏事，如果您觉得警告框还不够刺激，当受害者点击了一个被注入了 HTML 代码的页面链接时攻击者可以为所欲为。诱捕受害者，可能会 redirect 到另一个钓鱼网站之类的，使其蒙受损失。

检查应用程序对非法侵入的防范能力：根据安全指标不同测试策略也不同，如果遵循相同的原则，去证明软件的安全性，将有利于软件安全测试的工作规范地进行，有利于软件安全测试工作的发展。