Test penetrace webové aplikace je aktivita určená k posouzení toho, jak by se internetový program choval během útoku nebo využití.Tyto testy využívají řadu softwarových programů ke skenování aplikace a poté provedení různých akcí, ke kterým by se mohlo objevit během skutečného útoku.Test penetrace webové aplikace může provést vývojový tým nebo poskytovatel služeb třetích stran.Pokud je použit externí poskytovatel, vývojový tým nebo pracovníci informačních technologií (IT) nebudou o testu někdy informováni vedením.To může umožnit testu penetrace webové aplikace k odhalení nedostatků, které by jinak mohly být bez povšimnutí, což může umožnit vyřešit tyto problémy před vydáním softwaru.

Webové aplikace jsou softwarové balíčky, které lze přistupovat a spustit přes internet.Tyto aplikace mohou provádět mnoho funkcí a v některých případech jsou odpovědné za manipulaci s údaji, které jsou považovány za soukromé nebo dokonce cenné.Aby se zabránilo kompromitujícím útokům, obvykle se provádějí testy penetrace, aby se v kódu objevily jakékoli slabosti nebo snadno využívané oblasti.

Typické testy penetrace webové aplikace začínají fází shromažďování informací.Účelem tohoto kroku je určit co nejvíce informací o aplikaci.Posíláním požadavků na aplikaci a použitím nástrojů, jako jsou skenery a vyhledávače, je často možné získat informace, jako jsou čísla verzí softwaru a chybové zprávy, které se často používají k nalezení vykořisťování později.

po dostatečném množství informacíbyl nashromážděn, dalším cílem testu penetrace webové aplikace je provést řadu různých útoků a vykořisťování.V některých případech budou informace shromážděné v první fázi identifikovat využití, které by aplikace mohla být zranitelná.Pokud nebyly zjištěny žádné zjevné zranitelnosti, lze se pokusit o celou řadu útoků a vykořisťování.Tyto testy se obvykle pokusí použít metody, jako je manipulace s univerzálním lokátorem (URL), únos relace a injekci strukturovaného jazyka dotazů (SQL), aby se vložily do aplikace.Může také existovat pokus o zahájení přetečení vyrovnávací paměti nebo jiné podobné akce, které mohou způsobit abnormálně chovat se aplikaci.Pokud některý z těchto útoků nebo vykořisťování způsobí, že aplikace odhalí citlivá data testeru penetrace, nedostatky jsou obvykle hlášeny spolu s navrhovaným postupem.