En penetrasjonstest for webapplikasjoner er en aktivitet designet for å måle hvordan et internettbasert program vil oppføre seg under et angrep eller utnytte.Disse testene benytter seg av en rekke programmer for å skanne en applikasjon og deretter utføre forskjellige handlinger som kan oppstå under et faktisk angrep.En penetrasjonstest for webapplikasjoner kan utføres av et utviklingsteam eller en tredjeparts tjenesteleverandør.Hvis en ekstern leverandør brukes, vil ikke utviklingsteamet eller informasjonsteknologi (IT) -personalet bli varslet om testen av ledelsen.Dette kan tillate en penetrasjonstest for webapplikasjoner for å avdekke feil som ellers kan ha gått upåaktet hen, noe som kan tillate at disse problemene kan løses før utgivelsen av programvaren.

Webapplikasjoner er programvarepakker som kan nås og kjøres over Internett.Disse applikasjonene kan utføre mange funksjoner, og i noen tilfeller er de ansvarlige for å håndtere data som anses som private eller til og med verdifulle.For å unngå kompromitterende angrep, utføres penetrasjonstester vanligvis for å lokalisere eventuelle svakheter eller enkelt utnytte områder i koden.

Typiske nettapplikasjonsinntrengningstester begynner med en informasjonssamlingsfase.Hensikten med dette trinnet er å bestemme så mye informasjon om applikasjonen som mulig.har blitt akkumulert, det neste målet med en penetrasjonstest for webapplikasjoner er å utføre en rekke forskjellige angrep og utnyttelser.I noen tilfeller vil informasjonen som samles inn i den første fasen identifisere utnyttelse av applikasjonen kan være sårbar for.Hvis ingen åpenbare sårbarheter ble oppdaget, kan et komplett spekter av angrep og utnyttelser forsøkes.

Mange forskjellige tekniske sårbarheter kan være lokalisert ved en penetrasjonstest for webapplikasjoner.Disse testene vil typisk forsøke å bruke metoder som URL -manipulering av Universal Resource Locator (URL), øktkapring og strukturert spørringsspråk (SQL) injeksjon for å bryte inn i en applikasjon.Det kan også være et forsøk på å sette i gang en bufferoverløp eller andre lignende handlinger som kan føre til at en applikasjon oppfører seg unormalt.Hvis noen av disse angrepene eller utnyttelsene fører til at applikasjonen avslører sensitive data for penetrasjonstesteren, rapporteres feilene vanligvis sammen med et foreslått handlingsforløp.