Ett penetrationstest för webbapplikationer är en aktivitet som är utformad för att mäta hur ett internetbaserat program skulle bete sig under en attack eller utnyttjande.Dessa tester använder sig av olika program för att skanna en applikation och sedan utföra olika åtgärder som kan inträffa under en faktisk attack.Ett webbapplikationspenetrationstest kan utföras av ett utvecklingsteam eller en tredjepartsleverantör.Om en extern leverantör används kommer utvecklingsgruppen eller informationsteknologi (IT) personal ibland inte att meddelas om testet av ledningen.Detta kan göra det möjligt för ett webbapplikationspenetrationstest att avslöja brister som annars skulle ha gått obemärkt, vilket kan göra det möjligt att fixa dessa problem innan programvaran släpps.

Webbapplikationer är programvarupaket som kan nås och körs över Internet.Dessa applikationer kan utföra många funktioner, och i vissa fall ansvarar de för att hantera data som anses vara privata eller till och med värdefulla.För att undvika att kompromissa med attacker utförs penetrationstester vanligtvis för att hitta eventuella svagheter eller lätt utnyttjade områden i koden.

Typiska webbapplikationens penetrationstester börjar med en information om insamling av information.Syftet med detta steg är att bestämma så mycket information om applikationen som möjligt.Genom att skicka förfrågningar till applikationen och använda verktyg som skannrar och sökmotorer är det ofta möjligt att få information som programvaruversionsnummer och felmeddelanden som ofta används för att hitta exploater senare.

Efter en tillräcklig mängd informationhar ackumulerats, nästa mål med ett webbapplikationspenetrationstest är att utföra ett antal olika attacker och exploater.I vissa fall kommer informationen som samlats in under den första fasen att identifiera utnyttjande som applikationen kan vara sårbar för.Om inga uppenbara sårbarheter upptäcktes, kan ett komplett utbud av attacker och exploater försökas.

Många olika tekniska sårbarheter kan lokaliseras genom ett penetrationstest för webbapplikationer.Dessa tester kommer vanligtvis att försöka använda metoder som Universal Resource Locator (URL) manipulation, sessionens kapning och strukturerade frågespråk (SQL) injektion för att bryta in i en applikation.Det kan också finnas ett försök att initiera ett buffertöverskridande eller andra liknande åtgärder som kan få en applikation att bete sig onormalt.Om någon av dessa attacker eller exploater får applikationen att avslöja känslig information till penetrationstestaren, rapporteras bristerna vanligtvis tillsammans med en föreslagen handlingsplan.