Preskus prodora v spletno aplikacijo je dejavnost, ki je namenjena oceni, kako bi se internetni program obnašal med napadom ali izkoriščanjem. Ti testi uporabljajo različne programske programe za skeniranje aplikacije in nato izvajanje različnih dejanj, ki se lahko zgodijo med dejanskim napadom. Preizkus prodora v spletno aplikacijo lahko izvede razvojna skupina ali tretji ponudnik storitev. Če se uporablja zunanji ponudnik, vodstvo včasih ne bo obvestilo razvojne ekipe ali osebja informacijske tehnologije (IT). To lahko omogoči preizkus prodora v spletno aplikacijo, da odkrije pomanjkljivosti, ki bi sicer lahko ostale neopažene, kar lahko omogoči odpravo teh težav pred izdajo programske opreme.
Spletne aplikacije so programski paketi, do katerih je mogoče dostopati in jih izvajati prek interneta. Te aplikacije lahko opravljajo številne funkcije in v nekaterih primerih so odgovorne za obdelavo podatkov, ki veljajo za zasebne ali celo dragocene. Da bi se izognili ogrožajočim napadom, se običajno izvajajo testi penetracije, da se odkrijejo morebitne slabosti ali zlahka izkoriščena področja v kodi.
Tipični testi penetracije spletnih aplikacij se začnejo s fazo zbiranja informacij. Namen tega koraka je določiti čim več informacij o aplikaciji. S pošiljanjem zahtev v aplikacijo in z uporabo orodij, kot so skenerji in iskalniki, je pogosto mogoče pridobiti informacije, kot so številke različic programske opreme in sporočila o napakah, ki se pogosto uporabljajo za kasnejše iskanje zlomov.
Ko se zbere zadostna količina informacij, je naslednji cilj testa penetracije v spletno aplikacijo izvesti številne različne napade in izkoriščanja. V nekaterih primerih bodo podatki, zbrani v prvi fazi, identificirali zlorabe, za katere bi lahko bila aplikacija ranljiva. Če ni bila odkrita nobena očitna ranljivost, je mogoče poskusiti celo vrsto napadov in izkoriščanja.
S testom prodora v spletno aplikacijo je mogoče odkriti številne različne tehnične ranljivosti. Ti testi bodo običajno poskušali uporabiti metode, kot so manipulacija z univerzalnim lokatorjem virov (URL), ugrabitev seje in vbrizgavanje strukturiranega poizvedovalnega jezika (SQL) za vdor v aplikacijo. Lahko pride tudi do poskusa sprožitve prepolnitve medpomnilnika ali drugih podobnih dejanj, ki lahko povzročijo nenormalno vedenje aplikacije. Če kateri od teh napadov ali izkoriščanja povzroči, da aplikacija razkrije občutljive podatke preizkuševalcu penetracije, se o napakah običajno poroča skupaj s predlaganim potekom ukrepanja.