As aplicações Web e APIs estão agora a tornar-se parte de todos os negócios. Todas as empresas precisam de uma aplicação web para que o seu produto chegue a mais clientes e as Interfaces de Programadores de Aplicações (APIs) são necessárias para transferir os dados de um local para outro com facilidade e eficiência. Hoje em dia, quase todas as aplicações web fazem uso de APIs. Com o aumento da utilização de aplicações Web e APIs, também surgem os riscos e as falhas de segurança a ela associados. Neste artigo, discutimos primeiro a Avaliação de Vulnerabilidade & Teste de Penetração, seguida das vulnerabilidades relacionadas com as aplicações Web e APIs. As ferramentas que são utilizadas para testes de penetração destas aplicações são também discutidas juntamente com as técnicas de mitigação das vulnerabilidades discutidas anteriormente. Por último, mencionámos a estrutura que poderia ser utilizada para conceber qualquer ferramenta de Avaliação de Vulnerabilidade e Teste de Penetração que seja robusta, precisa, e eficiente tendo uma mistura de funcionalidades de teste tanto automatizadas como manuais que poderiam ser aplicadas a aplicações web e APIs de pentesting.