软件安全测试是指测试人员通过一系列的手动或者自动化测试手段验证软件系统安全等级、防御风险能力的测试过程。

一个完整的软件安全测试，包括以下步骤：

1、部署与基础结构

部署有没有包括内部防火墙，网络是否安全，目标环境支持怎样的信任级别，基础结构安全性需求的限制是什么。

2、输入验证

如何验证输入,是否验证Web页输入，是否对传递到组件或Web服务的参数进行验证，是否验证从数据库中检索的数据，是否依赖客户端的验证，应用程序是否易受SQL注入攻击，应用程序是否易受XSS攻击，如何处理输入。

3、身份验证

是否区分受限访问和公共访问，如何验证数据库身份。

4、授权

如何在数据库中授权应用程序，如何向最终用户授权，如何将访问限定于系统级资源。

5、配置管理

是否保证配置存储的安全

6、敏感数据

是否存储机密信息，如何存储敏感数据，是否在网络中传递敏感数据，是否记录敏感数据。

7、会话管理

是否限制会话生存期，如何确保会话存储状态的安全。

8、加密

如何确保加密密钥的安全性。

9、参数操作

是否在参数过程中传递敏感数据，是否验证所有的输入参数，是否为了安全问题而使用HTTP头数据。

10、异常管理

是否使用结构化的异常处理，是否向客户端公开了太多的信息。