Web安全测试是指对Web应用程序进行评估和测试，以发现其中存在的安全漏洞和弱点。在进行Web安全测试时，需要关注以下主要的测试点：

　　1.身份认证与访问控制：

　　身份认证和访问控制是保护Web应用程序的重要组成部分。在安全测试中，需要检查用户身份验证机制是否有效，是否存在弱密码策略、会话固定、跨站请求伪造(CSRF)等问题。还需要检查访问控制机制是否正确，是否可以绕过授权限制。

　　2.输入验证与过滤：

　　输入验证是防止恶意输入攻击的关键。在安全测试中，需要测试Web应用程序是否正确验证和过滤用户的输入，防止代码注入、跨站脚本攻击(XSS)、跨站点请求伪造(XSRF/CSRF)等攻击。

　　3.安全会话管理：

　　安全会话管理涉及到保护用户会话的机制，例如使用安全的会话令牌、确保会话跟踪的安全性、定期注销会话等。在安全测试中，需要检查会话管理机制是否安全，是否容易受到会话劫持、会话固定、会话超时等攻击。

　　4.错误处理与异常管理：

　　错误处理和异常管理对于Web应用程序的安全性至关重要。在安全测试中，需要检查Web应用程序在错误状态下的行为是否安全，是否透露敏感信息、是否容易受到拒绝服务攻击等。

　　5.数据保护：

　　数据保护是Web应用程序的核心任务之一。在安全测试中，需要测试Web应用程序对敏感数据的保护是否有效，例如数据库访问控制、敏感数据加密、文件权限等。

　　6.安全配置管理：

　　安全配置管理涉及到服务器和网络设备的安全设置。在安全测试中，需要测试Web服务器、数据库服务器、操作系统等的安全配置是否按照最佳实践进行设置。

　　7.文件上传和下载：

　　文件上传和下载功能是Web应用程序常见的功能之一，也是安全测试关注的重点。在安全测试中，需要测试文件上传功能是否存在安全漏洞，如文件类型绕过、恶意文件上传等。

　　8.安全日志和监控：

　　安全日志和监控是对Web应用程序进行实时监视和跟踪的重要手段。在安全测试中，需要检查Web应用程序是否记录安全事件和异常日志，以及是否建立安全监控机制。

　　9.第三方组件和集成：

　　大多数Web应用程序使用第三方组件和集成，这些组件也可能存在漏洞。在安全测试中，需要测试这些第三方组件是否存在已知的漏洞，并及时更新和修复。

　　10.渗透测试和漏洞扫描：

　　渗透测试是一种主动攻击模拟，用于评估Web应用程序的安全性。漏洞扫描是自动化的安全测试技术，用于检测已知的安全漏洞。在安全测试中，通常会进行渗透测试和漏洞扫描，以发现未知的漏洞和弱点。

　　总结起来，Web安全测试的测试点涵盖了身份认证、输入验证、访问控制、安全会话管理、错误处理、数据保护、安全配置管理、文件上传和下载、安全日志和监控、第三方组件和集成、渗透测试和漏洞扫描等方面。通过全面测试这些测试点，可以发现并修复Web应用程序中的安全漏洞，提升应用的安全性。