Test penetracyjny aplikacji internetowej to czynność mająca na celu ocenę zachowania programu internetowego podczas ataku lub exploita. Testy te wykorzystują różne programy do skanowania aplikacji, a następnie wykonywania różnych działań, które mogą wystąpić podczas rzeczywistego ataku. Test penetracyjny aplikacji internetowej może zostać wykonany przez zespół programistów lub zewnętrznego dostawcę usług. Jeśli korzysta się z usług zewnętrznego dostawcy, zespół programistów lub personel informatyczny (IT) czasami nie zostanie powiadomiony o teście przez kierownictwo. Może to umożliwić testowi penetracji aplikacji internetowej wykrycie usterek, które w innym przypadku mogłyby pozostać niezauważone, co może umożliwić naprawienie tych problemów przed wydaniem oprogramowania.
Aplikacje internetowe to pakiety oprogramowania, do których można uzyskać dostęp i uruchamiać je przez Internet. Aplikacje te mogą pełnić wiele funkcji, a w niektórych przypadkach odpowiadają za obsługę danych uznawanych za prywatne lub nawet wartościowe. Aby uniknąć kompromitujących ataków, zazwyczaj przeprowadza się testy penetracyjne w celu zlokalizowania wszelkich słabych punktów lub łatwych do wykorzystania obszarów w kodzie.
Typowe testy penetracyjne aplikacji internetowych rozpoczynają się od fazy zbierania informacji. Celem tego kroku jest określenie jak największej ilości informacji o aplikacji. Wysyłając żądania do aplikacji i korzystając z narzędzi, takich jak skanery i wyszukiwarki, często można uzyskać informacje, takie jak numery wersji oprogramowania i komunikaty o błędach, które są często wykorzystywane do późniejszego wyszukiwania exploitów.
Po zgromadzeniu wystarczającej ilości informacji kolejnym celem testu penetracji aplikacji internetowej jest przeprowadzenie szeregu różnych ataków i exploitów. W niektórych przypadkach informacje zebrane w pierwszej fazie pozwolą zidentyfikować luki w zabezpieczeniach, na które aplikacja może być podatna. Jeśli nie zostaną wykryte żadne oczywiste luki w zabezpieczeniach, można przeprowadzić pełną gamę ataków i exploitów.
Test penetracyjny aplikacji internetowych może wykryć wiele różnych luk technicznych. Testy te zazwyczaj próbują użyć metod, takich jak manipulacja uniwersalnym lokalizatorem zasobów (URL), przejmowanie sesji i wstrzykiwanie strukturalnego języka zapytań (SQL) w celu włamania się do aplikacji. Może również wystąpić próba zainicjowania przepełnienia bufora lub innych podobnych działań, które mogą spowodować nieprawidłowe działanie aplikacji. Jeśli którykolwiek z tych ataków lub exploitów spowoduje, że aplikacja ujawni wrażliwe dane testerowi penetracji, błędy są zazwyczaj zgłaszane wraz z sugerowanym sposobem postępowania.