Test penetracji aplikacji internetowych to działanie zaprojektowane w celu oceny, w jaki sposób program internetowy zachowywałby się podczas ataku lub exploitu.Testy te wykorzystują różnorodne programy do skanowania aplikacji, a następnie wykonywania różnych działań, które mogą wystąpić podczas faktycznego ataku.Test penetracji aplikacji internetowych może zostać przeprowadzony przez zespół programistów lub zewnętrzny dostawca usług.Jeśli użyje się zewnętrznego dostawcy, zespół programistów lub technologia informacyjna (IT) czasami nie zostanie powiadomiona o teście przez kierownictwo.Może to pozwolić testowi penetracji aplikacji internetowych na odkrycie wad, które w przeciwnym razie mogłyby pozostać niezauważone, co może umożliwić naprawę tych problemów przed wydaniem oprogramowania.

Aplikacje internetowe to pakiety oprogramowania, do których można uzyskać dostęp i działać przez Internet.Aplikacje te mogą wykonywać wiele funkcji, aw niektórych przypadkach są odpowiedzialne za obsługę danych, które są uważane za prywatne lub nawet cenne.Aby uniknąć naruszenia ataków, zwykle przeprowadzane są testy penetracji w celu zlokalizowania wszelkich słabości lub łatwo wykorzystywanych obszarów w kodzie.

Typowe testy penetracji aplikacji internetowych zaczynają się od fazy gromadzenia informacji.Celem tego kroku jest ustalenie jak najwięcej informacji o aplikacji.Wysyłając żądania do aplikacji i korzystając z narzędzi takich jak skanery i wyszukiwarki, często można uzyskać informacje, takie jak numery wersji oprogramowania i komunikaty o błędach, które są często używane do znalezienia exploitów później.

po wystarczającej ilości informacjiZgromadzono kolejnym celem testu penetracji aplikacji internetowych, jest przeprowadzenie wielu różnych ataków i wyczynów.W niektórych przypadkach informacje zebrane w pierwszej fazie identyfikują exploits, że aplikacja może być podatna na.Jeśli nie wykryto żadnych oczywistych luk, można podjąć pełny zakres ataków i wyczynów.

Wiele różnych podatności technicznych może być zlokalizowane za pomocą testu penetracji aplikacji internetowych.Testy te zazwyczaj próbują użyć metod, takich jak manipulacja Universal Resource Locator (URL), porwanie sesji i wstrzyknięcie języka zapytań (SQL), aby włamać się do aplikacji.Może również podejmować próbę zainicjowania przepełnienia bufora lub innych podobnych działań, które mogą spowodować zachowanie się nieprawidłowo.Jeśli którykolwiek z tych ataków lub exploitów powoduje, że aplikacja ujawnia wrażliwe dane na tester penetracji, wady są zwykle zgłaszane wraz z sugerowanym działaniem.