Testowanie aplikacji ogranicza się do aplikacji, komponentu aplikacji lub małego zestawu aplikacji. Celem tego testu jest głębokie wgłębienie się w aplikację i określenie słabych punktów oprogramowania oraz ścieżek ataków w samym oprogramowaniu. Testerzy aplikacji mogą zajmować się aplikacjami internetowymi, aplikacjami skompilowanymi i zainstalowanymi (czasami nazywanymi aplikacjami „grubymi”), aplikacjami mobilnymi, a nawet interfejsami programowania aplikacji (API). Testowanie aplikacji zazwyczaj nie wykracza poza granice analizy poeksploatacyjnej w systemie operacyjnym. Testowanie aplikacji może być uwzględnione w programie dynamicznego testowania bezpieczeństwa aplikacji (DAST) lub statycznego testowania bezpieczeństwa aplikacji (SAST), który jest częścią procesu cyklu życia oprogramowania (SDLC). W takiej sytuacji aplikacje mogą być testowane w ustalonych odstępach czasu, w ramach określonych wydań wersji lub nawet w ramach zautomatyzowanych procesów, gdy ktoś dokona zmiany w kodzie. Testowanie aplikacji pozwala organizacji zrozumieć, w jaki sposób bezpieczeństwo aplikacji wpływa na postawę organizacji, co może prowadzić do tworzenia bezpieczniejszych produktów i eliminowania poprawek na późniejszym etapie procesu SDLC, których naprawienie może być bardziej kosztowne. Pomaga także w ocenie skuteczności kontroli, w tym kontroli biznesowych w aplikacji, a także typowych kontroli, takich jak zapory aplikacji internetowych (WAF) i inne kontrole bezpieczeństwa serwera WWW.