Контрольный список проникновения в сеть

Я действительно новичок в Web Pen Testing, и мой учитель дал мне этот контрольный список, который я должен проверить при тестировании каждого модуля в приложении:

Скрытые поля, Действительный сеанс, Принудительный просмотр, Подделка параметров, Проверка ввода, Подход белого списка, Проверка на стороне сервера на стороне клиента, Предсказуемые маркеры сеанса, Набор безопасных флагов, Набор только флагов HTTP, Сессия на основе файлов cookie, конфиденциальная информация о постоянных файлах cookie

Может кто-нибудь объяснить мне, как проверить эти поля для каждого модуля? Мой учитель сказал, что я должен пометить эти поля как пропущенные или не пройденные в каждом модуле. Как я могу знать, что проходит, а что нет?