Web uygulamaları pek çok kurumda neredeyse her türlü klasik uygulamaların yerini alarak yaygınlaşmaktadır. Bu uygulamalar, geliştirme hayat döngüsünün olgunluğuna göre, farklı seviyelerde zafiyetler barındırabilmektedir. Özellikle internete açık uygulamalarda risk ciddi seviyelerde olmaktadır. Gerek uygulama kullanıcılarına, gerek uygulamanın kendisine yönelik tehditler sebebiyle saldırı alanı çok geniştir. Web uygulamaları test eden pek çok otomatik araç bulunmaktadır, bu araçlar bazı genel zafiyetleri tespit etmekte başarılı olmakta, ancak bulguları doğru değerlendirmek, iş mantık hatalarını tespit etmek, karmaşık zafiyetleri tespit etmek gibi konularda yeterince başarılı olamamaktadır. Saldırganların web uygulamarını sömürmek için kullandığı yöntemlerle belirli metodolojiler üzerinden güvenlik denetimleri yapılmaktadır.