Een penetratietest voor webtoepassingen is een activiteit die is ontworpen om te peilen hoe een op internet gebaseerd programma zich zou gedragen tijdens een aanval of exploiteert.Deze tests maken gebruik van verschillende softwareprogramma's om een applicatie te scannen en vervolgens verschillende acties uit te voeren die kunnen optreden tijdens een daadwerkelijke aanval.Een penetratietest voor webtoepassingen kan worden uitgevoerd door een ontwikkelingsteam of een serviceprovider van derden.Als een externe provider wordt gebruikt, wordt het ontwikkelingsteam- of informatietechnologie (IT) -personeel soms niet op de hoogte gebracht van de test door het management.Hierdoor kan een penetratietest van de webtoepassing fouten die anders onopgemerkt zijn, kunnen ontdekken, waardoor deze problemen kunnen worden opgelost voorafgaand aan de release van de software.

Webtoepassingen zijn softwarepakketten die toegankelijk zijn en via internet worden uitgevoerd.Deze toepassingen kunnen vele functies uitvoeren, en in sommige gevallen zijn ze verantwoordelijk voor het verwerken van gegevens die als privé of zelfs waardevol worden beschouwd.Om compromitterende aanvallen te voorkomen, worden penetratietests meestal uitgevoerd om eventuele zwakke punten te vinden of gemakkelijk te exploiteren gebieden in de code.

Typische penetratietests voor webtoepassingen beginnen met een fase voor het verzamelen van informatie.Het doel van deze stap is om zoveel mogelijk informatie over de toepassing te bepalen.Door verzoeken naar de applicatie te verzenden en tools zoals scanners en zoekmachines te gebruiken, is het vaak mogelijk om informatie te verkrijgen zoals softwareversienummers en foutmeldingen die vaak worden gebruikt om exploits later te vinden.

na een voldoende hoeveelheid informatieis verzameld, het volgende doel van een penetratietest voor webtoepassingen is het uitvoeren van een aantal verschillende aanvallen en exploits.In sommige gevallen zal de informatie die tijdens de eerste fase is verzameld, de toepassing identificeert waarvoor de toepassing kwetsbaar kan zijn.Als er geen duidelijke kwetsbaarheden werden gedetecteerd, kan een volledige reeks aanvallen en exploits worden geprobeerd.

Veel verschillende technische kwetsbaarheden kunnen worden gevonden door een penetratietest van de webtoepassing.Deze tests zullen meestal proberen methoden te gebruiken zoals Universal Resource Locator (URL) manipulatie, sessiekaping en gestructureerde querytaal (SQL) -injectie om in te breken in een toepassing.Er kan ook een poging zijn om een bufferoverloop of andere soortgelijke acties te initiëren die ervoor kunnen zorgen dat een aanvraag zich abnormaal gedraagt.Als een van deze aanvallen of exploits ervoor zorgt dat de toepassing gevoelige gegevens aan de penetratietester onthult, worden de fouten meestal gerapporteerd samen met een voorgestelde manier van handelen.