מתודולוגיה זו מדמה חדירה למערכת בהיבט של תוקף חיצוני או משתמש בעל הרשאות בסיסיות המנסה לתקוף את המערכת ללא ידע פנימי. בדיקת חוסן לאפליקציות ולאתרים מתבצעות בהתאם למתודולוגית OWASP.

מטרת הבדיקות היא לזהות ולמנוע חולשות באבטחת המידע באתרים וממשקים המתקשרים עם משתמשים. במהלך הבדיקות, יינתן דגש על גילוי ותיקון שגיאות אבטחה, חולשות תכנון, חשיפת מידע רגיש ופריצות אפשריות. הבדיקות כוללות בדיקות התקפות חיצוניות ופנימיות, בדיקת חוקיות של גישות למערכת ולמידע, בדיקת התחזות, ובדיקת התמודדות עם התקפות DDoS.

הבדיקה תכלול לכל הפחות את הקטגוריות הבאות המוגדרות
כ- Top 10 של איומי הסייבר בסביבות אפליקטיביות:

• Injection
• Broken Authentication
• Sensitive Data Exposure
• XML External Entities (XXE)
• Broken Access control
• Security misconfigurations
• Cross Site Scripting (XSS)
• Insecure Deserialization
• Using Components with known vulnerabilities
• Insufficient logging and monitoring

מבדק החדירה יכלול לכל הפחות את התרחישים הבאים:

• בדיקת הגישה וההרשאות עבור משתמש שאינו מורשה
• ניסיונות התחזות למשתמשים אחרים
• בדיקות הזרקה בשדות קלט ופלט מהמערכת
• בחינת אבטחת אופן התשדורת ואמינות הנתונים
• בחינת עמידות המערכת בפני הזרקת קוד עוין
• ביצוע מניפולציית פרמטרים לצורך עקיפת מכניקות הגנה
• ניסיונות השתלטות על בסיס הנתונים, דוגמת: שינוי הנתונים, הרצת פקודות
• ניסיונות לחשוף מידע אודות ארכיטקטורת האפליקציה, גישה לקוד מקור ולקבצים נוספים בשרת המערכת
• ניסיונות עקיפה של מנגנוני אבטחת המידע