Веб-приложения являются наиболее популярной и зачастую наименее защищённой целью атак злоумышленников. Анализ защищённости веб-приложений необходим для выявления уязвимостей, позволяющих скомпрометировать приложение: повысить пользовательские привилегии, получить конфиденциальную информацию, выполнить произвольный код на веб-сервере и т.д. Компрометация веб-приложения может привести к нарушению его доступности, утечке конфиденциальных данных и, как следствие, к репутационному и финансовому ущербу. Анализ может проводиться как методом «чёрного ящика» (без какого-либо привилегированного доступа и без исходных текстов), так и методом «белого ящика» (с дополнительной информацией). При этом, помимо поиска стандартных и общеизвестных типов уязвимостей (из списка OWASP Top 10 и других), а также опубликованных уязвимостей в стороннем ПО (библиотеки, фреймворки), проводится аудит бизнес-логики приложения, которая может содержать специфичные уязвимости. Особо выделяются приложения, осуществляющие финансовые транзакции, такие, как системы дистанционного банковского обслуживания. Для них разрабатывается дополнительная модель угроз, учитывающая риски утечки денежных средств или персональных данных. В случае, когда веб-сервер интегрирован в корпоративную сеть, особое внимание также уделяется уязвимостям, позволяющим получить доступ ко внутренним ресурсам.