Hvad er webapplikationssikkerhed?
Webapplikationssikkerhed er en sikkerhedsfilosofi, der er rettet mod at beskytte applikationer, der er vært på websteder og sikre sig selv websteder. Enheden, der er beskyttet, er knyttet til et websted, så webapplikationssikkerhed skal laves på et programmeringssprog, som websteder kan forstå. Flere typer sikkerhedsprogrammer bruges ofte til at yde denne beskyttelse, herunder sårbarhedsscannere og inputtest. Der er mange typer angreb, der kan forekomme på et websted eller en webapplikation, men scripting og kodeindsprøjtning er de to mest almindelige sikkerhedstrusler online.
Beskyttelse af et websted eller en webapplikation er meget forskellig fra at skabe sikkerhed for et program, der er installeret på et skrivebord. Programmet er online og kan typisk få adgang til af alle - eller i det mindste en stor gruppe af brugere - så det øger chancen for, at en ondsindet bruger finder webapplikationen. Det har også en tendens til at være lettere for en ondsindet bruger at injicere kode på et websted, så webapplikationssikkerhed skal overvinde disse udfordringer.
Når man bygger et webapplikationssikkerhedsprogram, skal softwareudviklere lave programmet på et sprog, der kan bruges over en server eller et websted. Hvis en server eller et websted ikke er i stand til at forstå programmeringssprog, er der en stor chance for, at programmet vil være ineffektivt. Mange desktop-sikkerhedsprogrammer er bygget på disse sprog, så dette udgør normalt ikke et problem for de fleste softwareudviklere.
Kodning er ekstremt vigtig for webapplikationssikkerhed, fordi dårlig websteds- eller webapplikationskodning kan gøre det let for en hacker at komme ind i systemet. Af denne grund laves mange webapplikationssikkerhedsprogrammer til at analysere kodning for sårbarheder eller penetrationsvolatilitet. Inputafsnit kan også hjælpe en hacker med at komme ind i systemet, så programmer bruges typisk til at kontrollere disse inputområder for stabilitet. Firewalls og password-testere bruges også ofte til ekstra webstedssikkerhed.
En hacker kan angribe webapplikationen eller webstedet på mange forskellige måder, men to hovedangreb bruges ofte. Kodeindsprøjtning, normalt fra struktureret forespørgselssprog (SQL), tilføjer en kode til webstedet eller dets database. Dette kan forårsage problemer alene, eller det kan åbne huller i sikkerheden for mere alvorlige angreb. Scripts ligner kodeindsprøjtning, undtagen at de kører et ondsindet program snarere end at tilføje ondsindet programmering til systemet.