Test penetracije web aplikacije je aktivnost osmišljena da procijeni kako bi se internetski program ponašao tijekom napada ili eksploatacije. Ovi testovi koriste različite softverske programe za skeniranje aplikacije i zatim izvođenje različitih radnji koje bi se mogle dogoditi tijekom stvarnog napada. Test penetracije web aplikacije može izvesti razvojni tim ili pružatelj usluga treće strane. Ako se koristi vanjski pružatelj usluga, razvojni tim ili osoblje informacijske tehnologije (IT) ponekad neće biti obaviješteno o testu od strane uprave. To može omogućiti test penetracije web aplikacije da otkrije nedostatke koji bi inače mogli ostati neprimijećeni, što može omogućiti da se ti problemi poprave prije objavljivanja softvera.
Web aplikacije su softverski paketi kojima se može pristupiti i kojima se može pristupiti putem interneta. Te aplikacije mogu obavljati mnoge funkcije, au nekim slučajevima odgovorne su za rukovanje podacima koji se smatraju privatnim ili čak vrijednim. Kako bi se izbjegli kompromitirajući napadi, obično se provode testovi penetracije kako bi se locirali sve slabosti ili područja koja se lako iskorištavaju u kodu.
Tipični testovi penetracije web aplikacija počinju fazom prikupljanja informacija. Svrha ovog koraka je odrediti što više informacija o aplikaciji. Slanjem zahtjeva aplikaciji i korištenjem alata kao što su skeneri i tražilice, često je moguće dobiti informacije kao što su brojevi verzija softvera i poruke o pogreškama koje se često koriste za kasnije pronalaženje exploita.
Nakon što se prikupi dovoljna količina informacija, sljedeći cilj testa penetracije web aplikacije je izvođenje niza različitih napada i iskorištavanja. U nekim slučajevima, informacije prikupljene tijekom prve faze će identificirati eksploatacije na koje bi aplikacija mogla biti ranjiva. Ako nisu otkrivene očite ranjivosti, tada se može pokušati izvršiti čitav niz napada i eksploatacije.
Mnoge različite tehničke ranjivosti mogu se locirati testom penetracije web aplikacije. Ovi testovi obično će pokušati koristiti metode kao što su manipulacija univerzalnim lokatorom resursa (URL), otmica sesije i ubrizgavanje jezika strukturiranih upita (SQL) za prodor u aplikaciju. Također može doći do pokušaja pokretanja prekoračenja međuspremnika ili drugih sličnih radnji koje mogu uzrokovati nenormalno ponašanje aplikacije. Ako bilo koji od ovih napada ili iskorištavanja uzrokuje da aplikacija otkrije osjetljive podatke ispitivaču penetracije, nedostaci se obično prijavljuju zajedno s predloženim smjerom djelovanja.