web安全测试如何入手

web安全测试怎么入手
请问各位大虾，如果要做web安全测试怎么入门？

------解决方案--------------------
WEB安全测试通常要考虑的测试点

　例：一个验证用户登陆的页面，
　　如果使用的sql语句为：
　　Select * from table A where username=’’ + username+’’ and pass word …..
　　Sql 输入 ‘ or 1=1 ―― 就可以不输入任何password进行攻击
　　或者是半角状态下的用户名与密码均为：‘or’‘=’
　　8、不恰当的异常处理
　　分析：程序在抛出异常的时候给出了比较详细的内部错误信息，暴露了不应该显示的执行细节，网站存在潜在漏洞，
　　9、不安全的存储
　　分析：帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名(屏幕名)来指向实际的帐号。
　　浏览器缓存：认证和会话数据不应该作为GET的一部分来发送，应该使用POST，
　　10、问题：跨站脚本(XSS)
　　分析：攻击者使用跨站脚本来发送恶意代码给没有发觉的用户，窃取他机器上的任意资料
　　测试方法：
　　● HTML标签：<…>…
　　● 转义字符：&(&);<(<);>(>); (空格) ;
　　● 脚本语言：
　　javascript’>
　　…Alert(‘’)
　　
　　● 特殊字符：‘ ’ < > /
　　● 最小和最大的长度
　　● 是否允许空输入


------解决方案--------------------
谢谢，我还有问题可以问你嘛，你的QQ是多少
------解决方案--------------------
2楼果断Ctrl+v的