Un test de pénétration d'application Web est une activité conçue pour évaluer comment un programme Internet se comporterait lors d'une attaque ou d'un exploit.Ces tests utilisent une variété de logiciels pour scanner une application, puis effectuer différentes actions qui pourraient se produire lors d'une attaque réelle.Un test de pénétration d'application Web peut être effectué par une équipe de développement ou un fournisseur de services tiers.Si un fournisseur extérieur est utilisé, l'équipe de développement ou le personnel des technologies de l'information (TI) ne sera parfois pas informée du test par la direction.Cela peut permettre à un test de pénétration d'application Web de découvrir des défauts qui auraient pu autrement passer inaperçus, ce qui peut permettre à ces problèmes d'être résolus avant la sortie du logiciel.

Les applications Web sont des packages de logiciels accessibles et passés sur Internet.Ces applications peuvent remplir de nombreuses fonctions, et dans certains cas, elles sont responsables de la gestion des données considérées comme privées ou même précieuses.Afin d'éviter de compromettre les attaques, des tests de pénétration sont généralement effectués pour localiser toutes les faiblesses ou les zones facilement exploitées dans le code.

Les tests de pénétration des applications Web typiques commencent par une phase de collecte d'informations.Le but de cette étape est de déterminer autant d'informations sur l'application que possible.En envoyant des demandes à l'application et en utilisant des outils tels que des scanners et des moteurs de recherche, il est souvent possible d'obtenir des informations telles que les numéros de version logicielle et les messages d'erreur qui sont souvent utilisés pour trouver des exploits plus tard.

après une quantité suffisante d'informationsa été accumulé, le prochain objectif d'un test de pénétration d'application Web est d'effectuer un certain nombre d'attaques et d'exploits différents.Dans certains cas, les informations recueillies au cours de la première phase identifieront les exploits à laquelle l'application pourrait être vulnérable.Si aucune vulnérabilité évidente n'a été détectée, une gamme complète d'attaques et d'exploits peut être tentée.

De nombreuses vulnérabilités techniques différentes peuvent être localisées par un test de pénétration d'application Web.Ces tests tenteront généralement d'utiliser des méthodes telles que la manipulation du localisateur de ressources universelles (URL), le détournement de session et l'injection de langage de requête structuré (SQL) pour pénétrer dans une application.Il peut également y avoir une tentative d'initier un débordement de tampon ou d'autres actions similaires qui peuvent provoquer une application à se comporter anormalement.Si l'une de ces attaques ou exploits amène l'application à révéler des données sensibles au testeur de pénétration, les défauts sont généralement signalés avec une ligne de conduite suggérée.