結合テスト(もしかして総合テスト？)では全てのページの全てのパラメータに、あらゆるデータを入れてみたり、普通の手順とは違う手順でページをアクセスしてみたりすると思う。もしかして、ページのアクセス順番を変更してテストしない？していないならすべきだと思う。
で、セキュリティテストでは何するかというとやっていることは全く変わらなかったりする。ただ、テストするデータが単純に「数値項目に文字を入れてみる」とかではなく、より具体的に「'を入れてみる」だったり、非常に大きなデータだったりするだけだったりする。後は、セキュリティに問題があるかないかの判定がちっとばかし難しいかも？と言うぐらいなので、セキュリティテストとして結合テストから切り出す必要性は全くないと思うんだが･･･というか、セキュリティと言うだけで身構えてしまうから問題なのかも？基本をしっかりしてれば、案外できるもんだと思うんだけどね。
まあ、結合テストで、しっかり「有害文字w」も含めた異常系のテストをしていれば、セキュリティ上の問題は意外と見つかるもんだと思うんだけどね。