En webapplikationspenetrationstest er en aktivitet designet til at måle, hvordan et internetbaseret program ville opføre sig under et angreb eller udnyttelse.Disse test bruger en række softwareprogrammer til at scanne en applikation og derefter udføre forskellige handlinger, der kan forekomme under et faktisk angreb.En webapplikationspenetrationstest kan udføres af et udviklingshold eller en tredjeparts tjenesteudbyder.Hvis der bruges en ekstern udbyder, vil udviklingsteamet eller informationsteknologi (IT) personale undertiden ikke blive underrettet om testen af ledelsen.Dette kan give en webapplikationspenetrationstest mulighed for at afdække mangler, der ellers kan have gået upåagtet hen, hvilket kan tillade, at disse problemer fastgøres inden udgivelsen af softwaren.

Web -applikationer er softwarepakker, der kan fås adgang til og køres over internettet.Disse applikationer kan udføre mange funktioner, og i nogle tilfælde er de ansvarlige for håndtering af data, der betragtes som private eller endda værdifulde.For at undgå at kompromittere angreb udføres penetrationstest typisk for at finde eventuelle svagheder eller let udnyttede områder i koden.

Typiske webapplikationspenetrationstest begynder med en informationsindsamlingsfase.Formålet med dette trin er at bestemme så meget information om applikationen som muligt.Ved at sende anmodninger til applikationen og bruge værktøjer såsom scannere og søgemaskiner, er det ofte muligt at få information såsom softwareversionsnumre og fejlmeddelelser, der ofte bruges til at finde udnyttelse senereEr blevet akkumuleret, er det næste mål med en webapplikationspenetrationstest at udføre en række forskellige angreb og udnyttelse.I nogle tilfælde vil de oplysninger, der er indsamlet i den første fase, identificere udnyttelse, som applikationen kan være sårbar over for.Hvis der ikke blev opdaget nogen åbenlyse sårbarheder, kan der forsøges et komplet udvalg af angreb og udnyttelse.

Mange forskellige tekniske sårbarheder kan placeres ved en webapplikationspenetrationstest.Disse tests vil typisk forsøge at bruge metoder, såsom Universal Resource Locator (URL) manipulation, session -kapring og struktureret forespørgselssprog (SQL) injektion til at bryde ind i en applikation.Der kan også være et forsøg på at indlede en bufferoverløb eller andre lignende handlinger, der kan få en applikation til at opføre sig unormalt.Hvis nogen af disse angreb eller udnyttelser får applikationen til at afsløre følsomme data til penetrationstesteren, rapporteres manglerne typisk sammen med et foreslået handlingsforløb.