Одной из возможных метрик для оценки безопасности веб-приложения является диапазон проверенных проблем. Как минимум, 10 проблем OWASP должны быть проверены, но качественная оценка должным образом оценит бизнес-логику и специфические проблемы приложения. Кроме того, тестер должен иметь представление о любых конкретных технологиях, используемых веб-приложением (например, Adobe Flash, Google Gears).
Испытание на проникновение - это специальное мероприятие, поэтому найдите надежную и уважаемую компанию для проведения испытаний. В Великобритании схема CHECK пользуется большим уважением, список сертифицированных компаний можно найти здесь: http://www.crest -approved.org / member_companies.php
Полное раскрытие: я работаю в Verizon Business, которая предлагает услуги по тестированию на проникновение.