Moderne Webanwendungen bestehen meist aus einem in Javascript geschrieben Frontend, das lokal im Browser des Benutzers ausgeführt wird und einer oder mehrerer auf Webtechnologiend (HTTP(S), Websockets) basierender Schnittstellen zu Servern beim Anbieter. Ziel eines Webapplionspenetrationstests ist es zum einen Schwachstellen im Frontend zu identifizieren. Zum anderen Möglichkeiten aufzudecken Programmier- und Konfigurationsfehler im Backend auszunutzen. Die Tester nutzer für diese Untersuchungen in der Regel einen Proxyserver wie OWASP ZAP oder die BurpSuite des Herstellers Portswigger. Dieser ermöglich sich in die Kommunikation zwischen Front- und Backend zu schalten und die austauschten Daten (Request/Response) mitzulesen und zu verändern. Dabei bieten moderen Proxies bereits Möglichkeiten zur Teilautomatiisierung, um die Arbeit der Tester zu unterstützen.