A segurança de aplicativos da Web é uma filosofia de segurança voltada para proteger aplicativos hospedados em sites e protegê-los. A entidade que está sendo protegida está anexada a um site, portanto, a segurança do aplicativo da Web deve ser feita em uma linguagem de programação que os sites possam entender. Vários tipos de programas de segurança são comumente usados ​​para fornecer essa proteção, incluindo scanners de vulnerabilidades e testes de entrada. Existem muitos tipos de ataques que podem ocorrer a um site ou aplicativo da Web, mas scripts e injeção de código são as duas ameaças de segurança mais comuns online.

Proteger um site ou aplicativo da Web é muito diferente de criar segurança para um programa instalado em uma área de trabalho. O aplicativo está online e normalmente pode ser acessado por qualquer pessoa - ou pelo menos um grande grupo de usuários -, aumentando a chance de um usuário mal-intencionado encontrar o aplicativo da web. Também tende a ser mais fácil para um usuário mal-intencionado injetar código em um site, portanto, a segurança de aplicativos da web precisa superar esses desafios.

Ao criar um programa de segurança de aplicativos da web, os desenvolvedores de software precisam criar o programa em um idioma que possa ser usado em um servidor ou site. Se um servidor ou site não conseguir entender a linguagem de programação, há uma grande chance de que o programa seja ineficaz. Muitos programas de segurança de desktop são criados nesses idiomas; portanto, isso geralmente não representa um problema para a maioria dos desenvolvedores de software.

A codificação é extremamente importante para a segurança de aplicativos da Web, porque a codificação ruim de sites ou aplicativos da Web pode facilitar a entrada de hackers no sistema. Por esse motivo, muitos programas de segurança de aplicativos da Web são criados para analisar a codificação de vulnerabilidades ou volatilidade de penetração. As seções de entrada também podem ajudar um hacker a entrar no sistema; portanto, os programas são normalmente usados ​​para verificar a estabilidade dessas áreas de entrada. Firewalls e testadores de senha também são comumente usados ​​para segurança extra no site.

Um hacker pode atacar o aplicativo da Web ou site de várias maneiras diferentes, mas dois ataques principais são comumente usados. A injeção de código, geralmente da linguagem de consulta estruturada (SQL), adiciona um código ao site ou seu banco de dados. Isso pode causar problemas por conta própria ou abrir brechas na segurança para ataques mais graves. Os scripts são semelhantes à injeção de código, exceto que executam um programa malicioso em vez de adicionar uma programação maliciosa ao sistema.