Con el aumento meteórico en popularidad y uso de Internet a lo largo de los años, ha habido un aumento significativo en el número de aplicaciones web. Casi todas las organizaciones las utilizan para diversos propósitos, como comercio electrónico, banca electrónica, aprendizaje electrónico y redes sociales. Es más, las aplicaciones web se han vuelto cada vez más vulnerables a ataques maliciosos. Para encontrar vulnerabilidades web antes que un atacante, los expertos en seguridad utilizan escáneres de vulnerabilidades de aplicaciones web de caja negra para verificar vulnerabilidades de seguridad en aplicaciones web. La mayoría de los estudios han evaluado estos escáneres de caja negra contra varias aplicaciones web vulnerables. Sin embargo, la mayoría de las aplicaciones probadas son tradicionales (no dinámicas) y no reflejan la web actual. Este estudio evalúa la precisión de detección de cinco escáneres de vulnerabilidades de aplicaciones web de caja negra contra una de las aplicaciones web inseguras más modernas y sofisticadas, representando un comercio electrónico de la vida real. Las vulnerabilidades probadas son vulnerabilidades de inyección, en particular, inyección de lenguaje de consulta estructurado (SQLi), no solo SQL (NoSQL) e inyección de plantilla del lado del servidor (SSTI). También probamos los escáneres de caja negra en cuatro modos para identificar sus limitaciones. Los hallazgos muestran que los escáneres de caja negra pasan por alto la mayoría de las vulnerabilidades en casi todos los modos y algunos escáneres no detectaron ninguna de las vulnerabilidades.