Tes Penetrasi Aplikasi Web adalah kegiatan yang dirancang untuk mengukur bagaimana program berbasis internet akan berperilaku selama serangan atau eksploitasi.Tes ini memanfaatkan berbagai program perangkat lunak untuk memindai aplikasi dan kemudian melakukan tindakan berbeda yang mungkin terjadi selama serangan yang sebenarnya.Tes penetrasi aplikasi web dapat dilakukan oleh tim pengembangan atau penyedia layanan pihak ketiga.Jika penyedia luar digunakan, tim pengembangan atau staf Teknologi Informasi (TI) kadang -kadang tidak akan diberitahu tentang tes oleh manajemen.Ini memungkinkan uji penetrasi aplikasi web untuk mengungkap kekurangan yang mungkin tidak diketahui, yang dapat memungkinkan masalah tersebut diperbaiki sebelum rilis perangkat lunak.

Aplikasi web adalah paket perangkat lunak yang dapat diakses dan dijalankan melalui internet.Aplikasi ini dapat melakukan banyak fungsi, dan dalam beberapa kasus mereka bertanggung jawab untuk menangani data yang dianggap pribadi atau bahkan berharga.Untuk menghindari serangan kompromi, tes penetrasi biasanya dilakukan untuk menemukan kelemahan atau area yang mudah dieksploitasi dalam kode.

Tes penetrasi aplikasi web yang khas dimulai dengan fase pengumpulan informasi.Tujuan dari langkah ini adalah untuk menentukan sebanyak mungkin informasi tentang aplikasi.Dengan mengirimkan permintaan ke aplikasi, dan menggunakan alat seperti pemindai dan mesin pencari, seringkali dimungkinkan untuk mendapatkan informasi seperti nomor versi perangkat lunak dan pesan kesalahan yang sering digunakan untuk menemukan eksploitasi nanti.

setelah jumlah informasi yang cukupTelah diakumulasikan, tujuan berikutnya dari tes penetrasi aplikasi web adalah untuk melakukan sejumlah serangan dan eksploitasi yang berbeda.Dalam beberapa kasus, informasi yang dikumpulkan selama fase pertama akan mengidentifikasi eksploitasi, aplikasi mungkin rentan terhadapnya.Jika tidak ada kerentanan yang jelas yang terdeteksi, maka berbagai serangan dan eksploitasi dapat dicoba.

Banyak kerentanan teknis yang berbeda dapat ditempatkan oleh uji penetrasi aplikasi web.Tes -tes ini biasanya akan mencoba menggunakan metode seperti manipulasi Universal Resource Locator (URL), pembajakan sesi dan injeksi bahasa kueri terstruktur (SQL) untuk membobol aplikasi.Mungkin juga ada upaya untuk memulai buffer overflow atau tindakan serupa lainnya yang dapat menyebabkan aplikasi berperilaku tidak normal.Jika salah satu dari serangan atau eksploitasi ini menyebabkan aplikasi mengungkapkan data sensitif ke penguji penetrasi, kekurangan biasanya dilaporkan bersama dengan tindakan yang disarankan.