La seguridad de las aplicaciones web es una filosofía de seguridad orientada a proteger las aplicaciones alojadas en sitios web y asegurar los propios sitios web. La entidad que se protege está conectada a un sitio web, por lo que la seguridad de la aplicación web debe realizarse en un lenguaje de programación que los sitios web puedan comprender. Varios tipos de programas de seguridad se utilizan comúnmente para proporcionar esta protección, incluidos los escáneres de vulnerabilidades y las pruebas de entrada. Hay muchos tipos de ataques que pueden ocurrir a un sitio web o aplicación web, pero las secuencias de comandos y la inyección de código son las dos amenazas de seguridad más comunes en línea.

Proteger un sitio web o una aplicación web es muy diferente de crear seguridad para un programa que está instalado en un escritorio. La aplicación está en línea y, por lo general, cualquier persona puede acceder a ella, o al menos un gran grupo de usuarios, por lo que esto aumenta las posibilidades de que un usuario malintencionado encuentre la aplicación web. También tiende a ser más fácil para un usuario malicioso inyectar código en un sitio web, por lo que la seguridad de las aplicaciones web debe superar estos desafíos.

Al crear un programa de seguridad de aplicaciones web, los desarrolladores de software tienen que hacer el programa en un lenguaje que se pueda utilizar en un servidor o un sitio web. Si un servidor o sitio web no puede entender el lenguaje de programación, entonces existe una alta probabilidad de que el programa sea ineficaz. Muchos programas de seguridad para computadoras de escritorio están construidos en estos idiomas, por lo que esto generalmente no presenta un problema para la mayoría de los desarrolladores de software.

La codificación es extremadamente importante para la seguridad de las aplicaciones web, ya que una codificación deficiente de un sitio web o una aplicación web puede facilitar la entrada de un hacker en el sistema. Por esta razón, muchos programas de seguridad de aplicaciones web están diseñados para analizar la codificación en busca de vulnerabilidades o volatilidad de penetración. Las secciones de entrada también pueden ayudar a un hacker a ingresar al sistema, por lo que los programas generalmente se usan para verificar la estabilidad de estas áreas de entrada. Los cortafuegos y los probadores de contraseñas también se usan comúnmente para la seguridad adicional del sitio web.

Un hacker puede atacar la aplicación web o el sitio web de muchas maneras diferentes, pero se usan comúnmente dos ataques principales. La inyección de código, generalmente del lenguaje de consulta estructurado (SQL), agrega un código al sitio web o su base de datos. Esto puede causar problemas por sí solo, o puede abrir agujeros en la seguridad para ataques más severos. Los scripts son similares a la inyección de código, excepto que ejecutan un programa malicioso en lugar de agregar programación maliciosa al sistema.