Über die Jahre hat sich die statische Web-Seite zu einer komplexen dynamischen Anwendung gewandelt, die dem Internet-Nutzer viele Funktionen bereitstellt. Dazu ist eine Vielzahl von Technologien erforderlich, deren Implementierung und Betrieb nicht immer trivial sind. Parallel zum technischen Fortschritt sind neue Schwachstellen in den Anwendungen entstanden. Nach einer Statistik des Web Application Security Consortium lassen sich mittels Penetrationstests in 96,85 Prozent aller Web-Anwendungen kritische Sicherheitslücken identifizieren.
Um Qualität und Sicherheit von Anwendungen zu verbessern, wurde das Community-Projekt "Open Web Application Security Project" (OWASP) ins Leben gerufen. Innerhalb des OWASP gibt es verschiedene Teilprojekte, so etwa das "OWASP Top Ten Project", das regelmäßig die jeweils zehn kritischsten Schwachstellen von Web-Applikationen beschreibt (letzter Stand: 2007). Ziel ist es, Entwickler, Designer, Architekten und Unternehmen für potenzielle Schwachstellen zu sensibilisieren und aufzuzeigen, wie sich diese vermeiden lassen. Die folgenden "OWASP Top Ten" stellen unter Web-Sicherheitsexperten einen anerkannten Konsens dar, was die derzeit kritischsten Lücken in Web-Anwendungen betrifft:
