Moderne Webanwendungen bestehen meist aus einem in Javascript geschrieben Frontend, das lokal im Browser des Benutzers ausgeführt wird und einer oder mehrerer auf Webtechnologien (HTTP(S), Websockets) basierender Schnittstellen zu Servern beim Anbieter. Ziel eines Webapplikationspenetrationstests ist es zum einen Schwachstellen im Frontend zu identifizieren. Zum anderen Möglichkeiten aufzudecken Programmier- und Konfigurationsfehler im Backend auszunutzen. Die Tester nutzen für diese Untersuchungen in der Regel einen Proxyserver wie OWASP ZAP oder die BurpSuite des Herstellers Portswigger. Dieser ermöglicht sich in die Kommunikation zwischen Front- und Backend zu schalten und die auszutauschenden Daten (Request/Response) mitzulesen und zu verändern. Dabei bieten moderne Proxies bereits Möglichkeiten zur Teilautomatiisierung, um die Arbeit der Tester zu unterstützen.