Как-то совершенно тихо зарелизился сабж — подробнейшее руководство по тестированию безопасности веб-приложений:
1.
PDF'ка
2.
Онлайн-версия (wiki)
3.
Презентация
Также
обновилось OWASP Code Review Guide — на ту же тему про проведение ревью кода. Кто еще не знаком, но так или иначе озадачен вопросами безопасности веб-приложений — must read.