Μια δοκιμή διείσδυσης εφαρμογών ιστού είναι μια δραστηριότητα που έχει σχεδιαστεί για να μετρήσει τον τρόπο συμπεριφοράς ενός προγράμματος που βασίζεται στο Διαδίκτυο κατά τη διάρκεια επίθεσης ή εκμετάλλευσης.Αυτές οι δοκιμές χρησιμοποιούν μια ποικιλία προγραμμάτων λογισμικού για να σαρώσουν μια εφαρμογή και στη συνέχεια να εκτελούν διαφορετικές ενέργειες που μπορεί να συμβούν κατά τη διάρκεια μιας πραγματικής επίθεσης.Μια δοκιμή διείσδυσης εφαρμογών ιστού μπορεί να πραγματοποιηθεί από μια ομάδα ανάπτυξης ή έναν πάροχο υπηρεσιών τρίτου μέρους.Εάν χρησιμοποιηθεί ένας εξωτερικός πάροχος, η ομάδα ανάπτυξης ή το προσωπικό της τεχνολογίας της πληροφορίας (IT) δεν θα ειδοποιηθούν μερικές φορές για τη δοκιμή από τη διοίκηση.Αυτό μπορεί να επιτρέψει σε μια δοκιμή διείσδυσης εφαρμογών ιστού να αποκαλύψει ελαττώματα που θα μπορούσαν διαφορετικά να έχουν περάσει απαρατήρητα, γεγονός που μπορεί να επιτρέψει την καθιέρωση αυτών των ζητημάτων πριν από την απελευθέρωση του λογισμικού..Αυτές οι εφαρμογές μπορούν να εκτελούν πολλές λειτουργίες και σε ορισμένες περιπτώσεις είναι υπεύθυνοι για το χειρισμό δεδομένων που θεωρούνται ιδιωτικά ή ακόμη και πολύτιμα.Προκειμένου να αποφευχθούν οι επιθέσεις, οι δοκιμές διείσδυσης συνήθως εκτελούνται για να εντοπιστούν τυχόν αδυναμίες ή εύκολα εκμεταλλευόμενες περιοχές στον κώδικα.Ο σκοπός αυτού του βήματος είναι να καθοριστεί όσο το δυνατόν περισσότερες πληροφορίες σχετικά με την εφαρμογή.Με την αποστολή αιτήσεων στην εφαρμογή και τη χρήση εργαλείων όπως σαρωτές και μηχανές αναζήτησης, είναι συχνά δυνατή η λήψη πληροφοριών όπως οι αριθμοί έκδοσης λογισμικού και τα μηνύματα σφάλματος που χρησιμοποιούνται συχνά για να βρουν εκμεταλλεύσεις αργότερα.Έχει συσσωρευτεί, ο επόμενος στόχος μιας δοκιμής διείσδυσης εφαρμογών ιστού είναι να εκτελέσει διάφορες επιθέσεις και εκμεταλλεύσεις.Σε ορισμένες περιπτώσεις, οι πληροφορίες που συγκεντρώθηκαν κατά τη διάρκεια της πρώτης φάσης θα εντοπίσουν εκμεταλλεύσεις που η εφαρμογή ενδέχεται να είναι ευάλωτες.Εάν δεν εντοπίστηκαν προφανή ευπάθεια, τότε μπορεί να επιχειρηθεί πλήρες φάσμα επιθέσεων και εκμεταλλεύσεων.

Πολλά διαφορετικά τεχνικά ευπάθεια μπορούν να εντοπιστούν με δοκιμασία διείσδυσης εφαρμογών ιστού.Αυτές οι δοκιμές θα προσπαθούν συνήθως να χρησιμοποιήσουν μεθόδους όπως η χειραγώγηση του Universal Locator Resource (URL), η αεροπειρατεία συνεδρίας και η δομημένη έγχυση γλώσσας ερωτήσεων (SQL) για να σπάσουν μια εφαρμογή.Μπορεί επίσης να υπάρξει μια προσπάθεια να ξεκινήσει μια υπερχείλιση buffer ή άλλες παρόμοιες ενέργειες που μπορούν να προκαλέσουν μια εφαρμογή να συμπεριφέρεται ασυνήθιστα.Εάν κάποια από αυτές τις επιθέσεις ή εκμεταλλεύσεις αναγκάσει την εφαρμογή να αποκαλύψει ευαίσθητα δεδομένα στον δοκιμαστή διείσδυσης, τα ελαττώματα συνήθως αναφέρονται μαζί με μια προτεινόμενη πορεία δράσης.