Общепринятый «инструментарий», на который опирается аудитор - стандарты ISO/IEC 17799, ISO/IEC 27001, ГОСТ ИСО/МЭК 15408 не описывают перечень угроз web-приложений и не содержат требований к качеству реализаций основных функций приложения.

В банковском стандарте (если брать его во внимание)также нет конкретных рекомендаций, как и в письме ЦБ «Рекомендации по информационному содержанию и организации Web-сайтов кредитных организаций в сети».

Поэтому для анализа защищенности web-приложений удобнее опираться на классификацию OWASP.

Open Web Application Security Project (OWASP) - некоммерческий проект, в котором разработана четкая классификация всех угроз и уязвимостей для web-приложений.