Mimo, że to klient decyduje o dodatkowych testach na aplikacje webowe to zawsze pentesterzy nalegają na ich wykonanie. Obecnie zdecydowana większość ataków na systemy webowe udostępniane w Internecie odbywa się w warstwie aplikacyjnej. Ataki te spowodowane są słabym zabezpieczeniem samych aplikacji WWW lub serwerów, które obsługują tę aplikację.
Testy aplikacji webowych nieco różnią się od testów penetracyjnych infrastruktury sieciowej. Przede wszystkim pozwalają określić jakie luki bezpieczeństwa znajdują się w określonej aplikacji oraz jakie są potencjalne skutki wykorzystania tych podatności. W przypadku niestwierdzenia luk i podatności na ataki można określić w jakim stopniu próby ataków były wykrywane oraz przez jaki czas aplikacja skutecznie się przed nimi broniła.