امروزه برنامه های کاربردی وب به عنوان واسطی برای بسیاری از سیستم های تحت وب، مورد استفاده قرار می گیرد. با توجه به حساسیت اطلاعاتی که این دسته از برنامه ها ذخیره و تبادل می کنند، لزوم امن بودن آنها حائز اهمیت است. نفوذگر با سوء استفاده از نقاط ضعف برنامه های کاربردی تحت وب، امنیت سیستم را به خطر می اندازد. بنابراین، تشخیص آسیب پذیری برنامه های کاربردی تحت وب به میزان زیادی از حملات نفوذگران جلوگیری می کند. روش های متعددی جهت تشخیص آسیب پذیری ها معرفی شده اند که هر روش دارای مزایا و معایب خاص خود می باشد. به عنوان مثال، روش هایی که متن برنامه را مورد بررسی قرار می دهند از تحلیل ایستا، پویا و یا ترکیبی از هر دو استفاده می کنند. در روش ایستا تمامی متن برنامه تحلیل می شود و بنابراین، بخش های بیشتری از برنامه تحت پوشش قرار می گیرد. از آن جا که این تحلیل بدون اجرا شدن واقعی برنامه تحت وب انجام می گیرد، سربار زمان اجرا وجود ندارد اما همواره نتایج شامل مثبت کاذب است و هیچ گاه نتایج واقعی حاصل نمی شود. از برجسته ترین و رایج تریین آسیب پذیری های مشاهده شده در برنامه های کاربردی تحت وب، تزریق SQL , XSS است. XSS نوعی از آسیب پذیری است که به مهاجمان اجازه می دهد تا داده آلوده ای را به داخل یک صفحه از برنامه کاربردی از طریق مرورگر تزریق کنند و با این کار اطلاعات حساس از جمله کوکی ها را به سرقت ببرند. این داده آلوده اغلب کدهای مخرب جاوا اسکریپت هستند. آسیب پذیری های XSS به دو دسته اصلی آسیب پذیری های مرتبه اول و مرتبه دوم تقسیم می شوند. در آسیب پذیری های مرتبه اول، داده آلوده به طور مستقیم و بدون واسطه، از منبع ورودی به سمت خروجی انتشار پیدا می کند، در حالی که در آسیب پذیری های مرتبه دوم یک وسیله ذخیره سازی داده مانند پایگاه داده به عنوان واسطی برای انتشار داده آلوده عمل می کند. آسیب پذیری های مرتبه دوم از اهمیت بیشتری برخوردار هستند زیرا با ذخیره کد مخرب در وسیله ذخیره سازی، می تواند افراد زیادی را مورد حمله خود قرار دهد.