A webalkalmazás penetrációs tesztje egy olyan tevékenység, amelynek célja annak felmérése, hogy egy internetes program hogyan viselkedne támadás vagy kizsákmányolás során.Ezek a tesztek különféle szoftverprogramokat használnak az alkalmazás beolvasására, majd a tényleges támadás során előforduló különféle műveletek végrehajtására.A webalkalmazás penetrációs tesztet egy fejlesztési csapat vagy harmadik fél szolgáltató végezheti.Ha külső szolgáltatót használnak, akkor a fejlesztési csoport vagy az informatikai (IT) munkatársak néha nem értesítik a tesztet a vezetés.Ez lehetővé teheti a webes alkalmazás penetrációs tesztjét, hogy felfedje azokat a hibákat, amelyek egyébként észrevétlenül maradtak, és amelyek lehetővé teszik, hogy ezeket a problémákat a szoftver kiadása előtt rögzítsék.-Ezek az alkalmazások számos funkciót végezhetnek, és bizonyos esetekben felelősek a magánnak vagy akár értékesnek tekintett adatok kezeléséért.A támadások kompromittálásának elkerülése érdekében a penetrációs teszteket általában a kódban lévő gyengeségek vagy könnyen kiaknázható területek megtalálására végezzük.Ennek a lépésnek az a célja, hogy minél több információt határozzon meg az alkalmazásról.Ha kéréseket küld az alkalmazásnak, és olyan eszközöket használ, mint például a szkennerek és a keresőmotorok, gyakran lehetséges olyan információk beszerzése, mint például a szoftver verziószámok és a hibaüzenetek, amelyeket gyakran használnak a későbbi kizsákmányolás megtalálására.Felhalmozódtak, a webes alkalmazás penetrációs teszt következő célja számos különféle támadás és kizsákmányolás végrehajtása.Bizonyos esetekben az első szakaszban összegyűjtött információk azonosítják a kiaknázást, amelyre az alkalmazás kiszolgáltatott lehet.Ha nem észleltek nyilvánvaló sebezhetőségeket, akkor a támadások és a kizsákmányolás teljes köre megkísérelhető.Ezek a tesztek általában megkísérelnek olyan módszereket használni, mint például az Universal Resource Locator (URL) manipuláció, a munkamenet -eltérítés és a strukturált lekérdezési nyelv (SQL) injekció, hogy betörjenek egy alkalmazásba.Kísérlet lehet egy puffer túlcsordulás vagy más hasonló műveletek kezdeményezésére is, amelyek az alkalmazás rendellenesen viselkedhetnek.Ha ezeknek a támadásoknak vagy kizsákmányolásnak valamelyike arra készteti az alkalmazást, hogy érzékeny adatokat tárjon fel a penetrációs teszterrel, akkor a hibákat általában egy javasolt cselekvéssel együtt jelentik.