Một thử nghiệm thâm nhập ứng dụng web là một hoạt động được thiết kế để đánh giá cách một chương trình dựa trên Internet sẽ hoạt động trong một cuộc tấn công hoặc khai thác.Các thử nghiệm này sử dụng nhiều chương trình phần mềm để quét một ứng dụng và sau đó thực hiện các hành động khác nhau có thể xảy ra trong một cuộc tấn công thực tế.Một thử nghiệm thâm nhập ứng dụng web có thể được thực hiện bởi một nhóm phát triển hoặc nhà cung cấp dịch vụ của bên thứ ba.Nếu một nhà cung cấp bên ngoài được sử dụng, nhóm phát triển hoặc nhân viên công nghệ thông tin (CNTT) đôi khi sẽ không được quản lý thông báo về bài kiểm tra.Điều này có thể cho phép thử nghiệm thâm nhập ứng dụng web để phát hiện ra các lỗ hổng có thể không được chú ý, điều này có thể cho phép những vấn đề đó được khắc phục trước khi phát hành phần mềm. Ứng dụng web là các gói phần mềm có thể được truy cập và chạy qua Internet.Các ứng dụng này có thể thực hiện nhiều chức năng và trong một số trường hợp, chúng chịu trách nhiệm xử lý dữ liệu được coi là riêng tư hoặc thậm chí có giá trị.Để tránh các cuộc tấn công thỏa hiệp, các thử nghiệm thâm nhập thường được thực hiện để xác định bất kỳ điểm yếu nào hoặc các khu vực dễ bị khai thác trong mã. Các thử nghiệm thâm nhập ứng dụng web điển hình bắt đầu bằng giai đoạn thu thập thông tin.Mục đích của bước này là xác định càng nhiều thông tin về ứng dụng càng tốt.Bằng cách gửi các yêu cầu đến ứng dụng và sử dụng các công cụ như máy quét và công cụ tìm kiếm, thường có thể có được thông tin như số phiên bản phần mềm và thông báo lỗi thường được sử dụng để tìm khai thác sau này.đã được tích lũy, mục tiêu tiếp theo của thử nghiệm thâm nhập ứng dụng web là thực hiện một số cuộc tấn công và khai thác khác nhau.Trong một số trường hợp, thông tin được thu thập trong giai đoạn đầu tiên sẽ xác định khai thác ứng dụng có thể dễ bị tổn thương.Nếu không có lỗ hổng rõ ràng nào được phát hiện, thì có thể cố gắng đầy đủ các cuộc tấn công và khai thác. Nhiều lỗ hổng kỹ thuật khác nhau có thể được đặt bằng thử nghiệm thâm nhập ứng dụng web.Các thử nghiệm này thường sẽ cố gắng sử dụng các phương pháp như thao tác của Trình định vị tài nguyên phổ quát (URL), tặc sọ và tiêm ngôn ngữ truy vấn có cấu trúc (SQL) để đột nhập vào một ứng dụng.Cũng có thể có một nỗ lực để bắt đầu tràn bộ đệm hoặc các hành động tương tự khác có thể khiến một ứng dụng hoạt động bất thường.Nếu bất kỳ cuộc tấn công hoặc khai thác nào trong số này khiến ứng dụng tiết lộ dữ liệu nhạy cảm với người kiểm tra thâm nhập, thì các lỗ hổng thường được báo cáo cùng với một quá trình hành động được đề xuất.