Veebirakenduse läbitungimise test on tegevus, mille eesmärk on hinnata, kuidas Interneti-põhine programm käituks rünnaku või ärakasutamise ajal. Need testid kasutavad mitmesuguseid tarkvaraprogramme, et skannida rakendust ja seejärel sooritada erinevaid toiminguid, mis võivad tegeliku rünnaku ajal aset leida. Veebirakenduse läbitungimistesti võib läbi viia arendusmeeskond või kolmandast osapoolest teenusepakkuja. Kui kasutatakse välist pakkujat, siis mõnikord ei teavita juhtkond arendusmeeskonda või infotehnoloogia (IT) töötajaid testist. See võib võimaldada veebirakenduste läbitungimistestil avastada vigu, mis muidu oleks võinud märkamatuks jääda, mis võimaldab need probleemid enne tarkvara väljalaskmist parandada.
Veebirakendused on tarkvarapaketid, millele pääseb juurde ja mida saab kasutada Interneti kaudu. Need rakendused võivad täita paljusid funktsioone ja mõnel juhul vastutavad nende andmete käitlemise eest, mida peetakse privaatseks või isegi väärtuslikuks. Ohtlike rünnete vältimiseks tehakse tavaliselt läbitungimistestid, et leida koodi nõrkused või kergesti kasutatavad alad.
Tüüpilised veebirakenduste läbitungimise testid algavad teabe kogumise etapiga. Selle sammu eesmärk on määrata rakenduse kohta võimalikult palju teavet. Saates rakendusele päringuid ja kasutades selliseid tööriistu nagu skannerid ja otsingumootorid, on sageli võimalik hankida teavet, näiteks tarkvara versiooninumbreid ja veateateid, mida hiljem kasutatakse sageli ärakasutamiste leidmiseks.
Pärast piisava hulga teabe kogumist on veebirakenduste läbitungimistesti järgmiseks eesmärgiks läbi viia mitmeid erinevaid ründeid ja ärakasutusi. Mõnel juhul tuvastab esimeses etapis kogutud teave ärakasutamise, mille suhtes rakendus võib olla haavatav. Kui ilmseid turvaauke ei tuvastatud, saab proovida kõiki ründeid ja ärakasutusi.
Veebirakenduste läbitungimistesti abil saab tuvastada palju erinevaid tehnilisi haavatavusi. Need testid püüavad tavaliselt rakendusse sissemurdmiseks kasutada selliseid meetodeid nagu universaalse ressursiotsija (URL) manipuleerimine, seansi kaaperdamine ja struktureeritud päringukeele (SQL) süstimine. Võib juhtuda ka katse algatada puhvri ületäitumist või muid sarnaseid toiminguid, mis võivad põhjustada rakenduse ebanormaalset käitumist. Kui mõni neist rünnetest või ärakasutamistest põhjustab rakenduse avaldamise läbitungimistestile tundlikke andmeid, teatatakse tavaliselt vigadest koos soovitatud tegevuskavaga.