Ein Penetrationstest für Webanwendungen ist eine Aktivität, um zu beurteilen, wie sich ein internetbasiertes Programm während eines Angriffs oder Ausnutzung verhalten würde.Diese Tests verwenden eine Vielzahl von Softwareprogrammen, um eine Anwendung zu scannen und dann unterschiedliche Aktionen auszuführen, die während eines tatsächlichen Angriffs auftreten können.Ein Penetrationstest für Webanwendungen kann von einem Entwicklungsteam oder einem Drittanbieter-Dienstleister durchgeführt werden.Wenn ein externer Anbieter verwendet wird, wird das Personal des Entwicklungsteams oder der Informationstechnologie (IT) manchmal nicht über den Test vom Management informiert.Auf diese Weise kann ein Webanwendungs -Penetrationstest Fehler aufdecken, die ansonsten möglicherweise unbemerkt geblieben sind, wodurch diese Probleme vor der Veröffentlichung der Software behoben werden können..Diese Anwendungen können viele Funktionen ausführen und sind in einigen Fällen für die Behandlung von Daten verantwortlich, die als privat oder sogar wertvoll angesehen werden.Um kompromittierende Angriffe zu vermeiden, werden in der Regel Penetrationstests durchgeführt, um Schwächen zu lokalisieren oder Bereiche im Code leicht auszunutzen.Der Zweck dieses Schritts besteht darin, so viele Informationen über die Anwendung wie möglich zu bestimmen.Durch das Senden von Anfragen an die Anwendung und die Verwendung von Tools wie Scannern und Suchmaschinen ist es häufig möglich, Informationen wie Software -Versionsnummern und Fehlermeldungen zu erhalten, die häufig verwendet werden, um spätere Exploits zu finden.

nach einer ausreichenden Menge an Informationenwurde akkumuliert, das nächste Ziel eines Webanwendungs -Penetrationstests besteht darin, eine Reihe verschiedener Angriffe und Exploits durchzuführen.In einigen Fällen werden in den in der ersten Phase gesammelten Informationen die Ausbeutung identifiziert, für die die Anwendung möglicherweise anfällig ist.Wenn keine offensichtlichen Schwachstellen festgestellt wurden, können eine breite Palette von Angriffen und Exploits versucht werden.

Viele verschiedene technische Schwachstellen können durch einen Webanwendungs -Penetrationstest gefunden werden.Diese Tests versuchen in der Regel, Methoden wie URL -Manipulation, Sitzung und strukturierte Query Language (SQL) -injektion zu verwenden, um in eine Anwendung einzubrechen.Es kann auch versuchen, einen Pufferüberlauf oder ähnliche Aktionen zu initiieren, die dazu führen können, dass sich eine Anwendung abnormal verhalten.Wenn einer dieser Angriffe oder Exploits dazu führt, dass die Anwendung dem Penetrationstester empfindliche Daten enthüllt, werden die Mängel normalerweise zusammen mit einer vorgeschlagenen Vorgehensweise angegeben.