Esto podría ser beneficioso si los clientes compran su aplicación web y luego la instalan en una plataforma propia y usted necesita protegerla a pesar del SO subyacente y la arquitectura de back-end.
Si la aplicación se ha juntado correctamente y trata la entrada del usuario correctamente en todos los lugares, entonces no debería haber diferencia. Sin embargo, si algunas partes de la aplicación permitirán que funcione un exploit de MS SQL mientras que MySQL fallara, o un exploit de Windows funcionará, sin embargo, cuando está alojado en Linux, esto no es posible, entonces hay beneficios. Por supuesto, no sabrá esto a menos que evalúe las vulnerabilidades en estas plataformas, ya sea dinámicamente (usando un escáner como usted propone, más pruebas manuales) o estáticamente (analizando el código fuente de forma automática y manual).
Dicho esto, la mayoría de las aplicaciones tenderían a mostrar vulnerabilidades similares sin importar en qué plataforma se hayan instalado, y tendrían que codificarse de una manera única para que pueda explotarse en una plataforma y no en la otra.