在制定测试计划时，需要确定测试范围和测试策略。一个全面的WEB安全性测试可以从以下几个方面入手：部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录。举几个例子：

一、安全体系测试

1、部署与基础结构 - 网络通信是否安全 - 是否包括内部防火墙 - 是否包括远程应用程序服务器 - 基础结构安全性需求限制 - 目标环境支持的信任级别

2、输入验证 - 清楚入口点 - 清楚信任边界 - 对Web页输入进行验证 - 对传递到组件或Web服务的参数进行验证 - 验证从数据库中检索的数据 - 方法集中化 - 不依赖客户端验证 - 应用程序是否易受SQL注入攻击 - 应用程序是否易受XSS攻击

3、身份验证 - 区分公共访问和受限访问 - 明确服务帐户要求 - 验证调用者身份 - 验证数据库的身份 - 强制试用帐户管理措施

4、授权 - 向最终用户授权方式 - 在数据库中授权应用程序 - 将访问限定于系统级资源

5、配置管理 - 支持远程管理 - 确保配置存储的安全 - 隔离管理员特权

6、敏感数据 - 存储敏感信息 - 存储敏感数据方式 - 在网络中传递敏感数据 - 记录敏感数据

通过以上细分的测试方面，可以全面检验WEB应用程序的安全性。