有没有性能测试？可以到网上朝找一些相关资料。

@dahuaniu 有性能测试，性能测试网上还是有一堆，但安全测试的貌似没什么。

ASF + SDL + Code scan/review

kalilinux

除非是大规模的撒网式攻击, 否则你几乎没有被黑的价值

一般没有安全部门的企业与其考虑怎么减少漏洞还不如考虑防御攻击。

从服务器文件，文件夹权限和防下载，web应用文件上传阻止可执行程序，input框防sql注入，后台弱口令，错误信息导致数据结构泄露，爆库，redis远程未授权漏洞，数据库弱口令，post和get的参数过滤（非框架极其容易引起sql注入），xss跨域攻击，验证是否仅有js而无后端验证，http request重复提交改数据，ajax是否带有相关鉴权算法，cookies安全（明文信息）大致从这些方面入手吧。
其实只要后端用的是框架而不是手写的代码，大部分问题作者都为我们考虑好了。