Un test di penetrazione dell'applicazione Web è un'attività progettata per valutare come un programma basato su Internet si comporterebbe durante un attacco o sfruttamento.Questi test utilizzano una varietà di programmi software per scansionare un'applicazione e quindi eseguire azioni diverse che potrebbero verificarsi durante un attacco reale.Un test di penetrazione dell'applicazione Web può essere eseguito da un team di sviluppo o da un fornitore di servizi di terze parti.Se viene utilizzato un fornitore esterno, il personale di sviluppo o la tecnologia dell'informazione (IT) a volte non verrà avvisato del test dalla direzione.Ciò può consentire a un test di penetrazione dell'applicazione Web di scoprire difetti che altrimenti potrebbero essere passati inosservati, il che può consentire di risolvere tali problemi prima del rilascio del software.

Le applicazioni Web sono pacchetti software a cui è possibile accedere e eseguire.Queste applicazioni possono svolgere molte funzioni e in alcuni casi sono responsabili della gestione dei dati considerati privati o addirittura preziosi.Al fine di evitare di compromettere gli attacchi, i test di penetrazione vengono generalmente eseguiti per individuare eventuali punti deboli o aree facilmente sfruttate nel codice.

I test di penetrazione tipici dell'applicazione Web iniziano con una fase di raccolta delle informazioni.Lo scopo di questo passaggio è determinare quante più informazioni possibile sull'applicazione.Inviando richieste all'applicazione e utilizzando strumenti come scanner e motori di ricerca, è spesso possibile ottenere informazioni come i numeri di versione software e i messaggi di errore che vengono spesso utilizzati per trovare exploit in seguito.

dopo una quantità sufficiente di informazioniÈ stato accumulato, il prossimo obiettivo di un test di penetrazione dell'applicazione Web è quello di eseguire una serie di attacchi e exploit diversi.In alcuni casi, le informazioni raccolte durante la prima fase identificheranno gli exploit a cui l'applicazione potrebbe essere vulnerabile.Se non sono state rilevate ovvie vulnerabilità, è possibile tentare una gamma completa di attacchi e exploit.

Molte diverse vulnerabilità tecniche possono essere individuate mediante un test di penetrazione dell'applicazione Web.Questi test tenteranno in genere di utilizzare metodi come la manipolazione del localizzatore di risorse universali (URL), il dirottamento della sessione e l'iniezione di linguaggio strutturato (SQL) per interrompere un'applicazione.Potrebbe esserci anche un tentativo di avviare un overflow del buffer o altre azioni simili che possono causare l'anomalamente di un'applicazione.Se uno di questi attacchi o exploit fa sì che l'applicazione rivelasse dati sensibili al tester di penetrazione, i difetti vengono in genere riportati insieme a un corso di azione suggerito.