Web Application Pertration Test는 공격 또는 이용 중에 인터넷 기반 프로그램이 어떻게 행동하는지 측정하기 위해 설계된 활동입니다.이 테스트는 다양한 소프트웨어 프로그램을 사용하여 응용 프로그램을 스캔 한 다음 실제 공격 중에 발생할 수있는 다른 작업을 수행합니다.웹 애플리케이션 침투 테스트는 개발 팀 또는 타사 서비스 제공 업체가 수행 할 수 있습니다.외부 공급자가 사용되는 경우 개발 팀 또는 정보 기술 (IT) 직원은 때때로 경영진이 테스트를 통지하지 않습니다.이를 통해 웹 애플리케이션 침투 테스트는 다른 방식으로 눈에 띄지 않을 수있는 결함을 발견 할 수있어 소프트웨어가 릴리스되기 전에 해당 문제를 해결할 수 있습니다. Web Applications는 인터넷을 통해 액세스하고 실행할 수있는 소프트웨어 패키지입니다..이러한 애플리케이션은 많은 기능을 수행 할 수 있으며 경우에 따라 개인적이거나 귀중한 것으로 간주되는 데이터를 처리 할 책임이 있습니다.공격을 피하기 위해, 침투 테스트는 일반적으로 코드에서 약점 또는 쉽게 악용되는 영역을 찾기 위해 수행됩니다.

일반적인 웹 응용 프로그램 침투 테스트는 정보 수집 단계에서 시작합니다.이 단계의 목적은 가능한 한 응용 프로그램에 대한 많은 정보를 결정하는 것입니다.애플리케이션에 요청을 보내고 스캐너 및 검색 엔진과 같은 도구를 사용하여 소프트웨어 버전 번호 및 나중에 악용을 찾는 데 종종 사용되는 오류 메시지와 같은 정보를 얻을 수 있습니다.웹 애플리케이션 침투 테스트의 다음 목표는 여러 가지 다른 공격과 악용을 수행하는 것입니다.경우에 따라 첫 번째 단계에서 수집 된 정보는 응용 프로그램이 취약 할 수있는 악용을 식별합니다.명백한 취약점이 감지되지 않으면 모든 범위의 공격과 악용을 시도 할 수 있습니다.이 테스트는 일반적으로 URL (Universal Resource Locator) 조작, 세션 납치 및 구조화 된 쿼리 언어 (SQL) 주입과 같은 방법을 사용하여 응용 프로그램에 침입합니다.또한 버퍼 오버 플로우 또는 응용 프로그램이 비정상적으로 행동하게 할 수있는 다른 유사한 동작을 시작하려는 시도가있을 수 있습니다.이러한 공격 또는 악용 중 하나가 응용 프로그램이 침투 테스터에게 민감한 데이터를 공개하게하는 경우, 결함은 일반적으로 제안 된 행동 과정과 함께보고됩니다.