Как-то совершенно тихо зарелизился сабж — подробнейшее руководство по тестированию безопасности веб-приложений:

1. PDF'ка
2. Онлайн-версия (wiki)
3. Презентация

Также обновилось OWASP Code Review Guide — на ту же тему про проведение ревью кода. Кто еще не знаком, но так или иначе озадачен вопросами безопасности веб-приложений — must read.