Les applications Web et les API font désormais partie intégrante de toutes les entreprises. Chaque entreprise a besoin d'une application web pour que son produit atteigne davantage de clients et les interfaces de programmation d'applications (API) sont nécessaires pour transférer les données d'un endroit à un autre avec facilité et efficacité. Aujourd'hui, presque toutes les applications Web utilisent des API. L'augmentation de l'utilisation des applications Web et des API s'accompagne de risques et de failles de sécurité. Dans cet article, nous abordons d'abord l'évaluation des vulnérabilités et les tests de pénétration, puis les vulnérabilités liées aux applications Web et aux API. Les outils utilisés pour les tests de pénétration de ces applications sont également abordés, ainsi que les techniques d'atténuation des vulnérabilités abordées précédemment. Enfin, nous avons mentionné le cadre qui pourrait être utilisé pour la conception d'un outil d'évaluation des vulnérabilités et de test de pénétration qui soit robuste, précis et efficace, avec un mélange de fonctionnalités de test automatisé et manuel qui pourrait s'appliquer au pentesting des applications Web et des API.