การทดสอบการเจาะเว็บแอปพลิเคชันเป็นกิจกรรมที่ออกแบบมาเพื่อวัดว่าโปรแกรมที่ทำงานบนอินเทอร์เน็ตจะทำงานอย่างไรในระหว่างการโจมตีหรือการใช้ประโยชน์ การทดสอบเหล่านี้ใช้ประโยชน์จากโปรแกรมซอฟต์แวร์ที่หลากหลายเพื่อสแกนแอปพลิเคชันจากนั้นทำการกระทำต่าง ๆ ที่อาจเกิดขึ้นระหว่างการโจมตีจริง การทดสอบการเจาะเว็บแอปพลิเคชันสามารถดำเนินการได้โดยทีมพัฒนาหรือผู้ให้บริการบุคคลที่สาม หากมีการใช้ผู้ให้บริการภายนอกทีมพัฒนาหรือเจ้าหน้าที่เทคโนโลยีสารสนเทศ (IT) บางครั้งจะไม่ได้รับการแจ้งเตือนจากผู้บริหาร การทำเช่นนี้อาจทำให้การทดสอบการเจาะแอปพลิเคชันทางเว็บสามารถค้นพบข้อบกพร่องที่อาจไม่ได้รับการสังเกตซึ่งอาจทำให้แก้ไขปัญหาเหล่านั้นได้ก่อนที่จะมีการเปิดตัวซอฟต์แวร์
เว็บแอปพลิเคชั่นเป็นแพ็คเกจซอฟต์แวร์ที่สามารถเข้าถึงและใช้งานผ่านอินเทอร์เน็ต แอปพลิเคชันเหล่านี้สามารถทำงานได้หลายอย่างและในบางกรณีพวกเขามีความรับผิดชอบในการจัดการข้อมูลที่ถือว่าเป็นส่วนตัวหรือมีค่า เพื่อหลีกเลี่ยงการโจมตีการโจมตีมักจะทำการทดสอบการเจาะเพื่อค้นหาจุดอ่อนหรือใช้ประโยชน์จากพื้นที่ได้อย่างง่ายดายในรหัส
การทดสอบการเจาะแอปพลิเคชันทางเว็บทั่วไปเริ่มต้นด้วยขั้นตอนการรวบรวมข้อมูล วัตถุประสงค์ของขั้นตอนนี้คือการพิจารณาข้อมูลเกี่ยวกับแอปพลิเคชันให้ได้มากที่สุด โดยการส่งคำขอไปยังแอปพลิเคชันและการใช้เครื่องมือเช่นสแกนเนอร์และเครื่องมือค้นหามันมักจะเป็นไปได้ที่จะได้รับข้อมูลเช่นหมายเลขเวอร์ชันของซอฟต์แวร์และข้อความแสดงข้อผิดพลาดที่มักใช้ในการหาช่องโหว่ในภายหลัง
หลังจากได้รับข้อมูลจำนวนเพียงพอแล้วเป้าหมายต่อไปของการทดสอบการเจาะระบบเว็บแอปพลิเคชั่นคือทำการโจมตีและหาช่องโหว่จำนวนมาก ในบางกรณีข้อมูลที่รวบรวมในช่วงแรกจะระบุถึงการหาประโยชน์ของแอปพลิเคชั่นที่อาจมีความเสี่ยง หากไม่พบช่องโหว่ที่ชัดเจนสามารถทำการโจมตีและหาช่องโหว่ได้อย่างเต็มรูปแบบ
ช่องโหว่ทางเทคนิคที่แตกต่างกันมากมายสามารถพบได้โดยการทดสอบการเจาะผ่านเว็บแอปพลิเคชัน โดยทั่วไปแล้วการทดสอบเหล่านี้จะพยายามใช้วิธีการต่าง ๆ เช่นการปรับเปลี่ยน Universal Resource Locator (URL) การหักหลังเซสชันและการฉีดภาษาคิวรีที่มีโครงสร้าง (SQL) เพื่อเจาะเข้าไปในแอปพลิเคชัน อาจมีความพยายามในการเริ่มต้นการบัฟเฟอร์ล้นหรือการกระทำอื่นที่คล้ายคลึงกันซึ่งอาจทำให้แอปพลิเคชันทำงานผิดปกติ หากการโจมตีหรือการใช้ช่องโหว่เหล่านี้ทำให้แอปพลิเคชันเปิดเผยข้อมูลที่ละเอียดอ่อนต่อเครื่องมือทดสอบการเจาะระบบจะรายงานข้อบกพร่องพร้อมกับแนวทางปฏิบัติที่แนะนำ
