对于 Web 应用程序安全，您可能会发现它很有用 - https://owasp.org/

这本书有很多好主意，你可以试试。

https://books.google.co.in/books/about/How_to_Break_Software.html?id=RbZQAAAAMAAJ&redir_esc=y

还要考虑做威胁模型——IME，当测试人员是威胁模型过程的一部分时，他们通常会发现其他人没有发现的安全问题。

如果安全性对您的应用程序的成功很重要，我建议从 HP、Cigital、SecurityCompass 等公司聘请专业人员，并观察他们如何处理它。书籍和网站是一回事，但您也确实需要指导……