La mejor forma es en primer lugar, probar todas las funcionalidades de la web y que son correctas...
Luego, te recomiendo utilizar firefox con las extensiones firebug y Live Headers, para ver que pasa cuando modificas el contenido de la pagina y "sumbites" (perdón por el termino) la página con dichos valores.
Ademas te puedes apoyar en herramientas automatizadas para encontrar vulnerabilidades en la aplicación web y servidor web, herramientas tales como: Beef, Nikto, MetaSploit, W3AF son algunos de los ejemplos validos, puedes ver algunas entradas que tengo en mi blog personal sobre pentesting que te pueden servir:

Nikto:
http://thehackerway.wordpress.com/2011/05/14/conociendo-las-tecnicas-de-escaneo-incluidas-en-nikto/

http://thehackerway.wordpress.com/2011/05/16/integrando-herramientas-del-arsenal-nikto-y-nessus/

http://thehackerway.wordpress.com/2011/05/17/integrando-herramientas-del-arsenal-nikto-y-metasploit-framework/

MetaSploit:
http://thehackerway.wordpress.com/2011/05/27/utilizando-xssf-en-metasploit-framework-explotando-xss/

http://thehackerway.wordpress.com/2011/05/26/utilizando-plugin-wmap-de-metasploit-framework-escaneando-aplicaciones-web/

Beef
http://thehackerway.wordpress.com/2011/05/21/conceptos-basicos-sobre-vulnerabilidades-xss-en-aplicaciones-web/

http://thehackerway.wordpress.com/2011/05/23/explotando-vulnerabilidades-xss-en-aplicaciones-web/

http://thehackerway.wordpress.com/2011/05/24/automatizando-ataques-xss-utilizando-beef/

http://thehackerway.wordpress.com/2011/05/25/integrando-herramientas-del-arsenal-beef-y-metasploit-framework/

W3AF
http://thehackerway.wordpress.com/2011/05/28/conceptos-basicos-sobre-w3af-web-application-attack-and-audit-framework/

http://thehackerway.wordpress.com/2011/05/30/funcionamiento-de-w3af-introduccion-al-framework-parte-i/

http://thehackerway.wordpress.com/2011/05/31/321/

http://thehackerway.wordpress.com/2011/06/01/funcionamiento-de-w3af-%e2%80%93-encontrando-vulnerabilidades-y-ejecutando-exploits/

http://thehackerway.wordpress.com/2011/06/02/integrando-herramientas-del-arsenal-metasploit-framework-y-w3af-hot-topic/

http://thehackerway.wordpress.com/2011/06/03/funcionamiento-de-w3af-%e2%80%93-tools-scripts-y-gui-de-w3af/



Bueno, son bastantes post al respecto, estos son solo algunos, puedes navegar por el sitio y tomar lo que te sirva para realizar Pentesting sobre tu aplicación web.

Un Saludo.