Безопасность веб-приложений - это философия безопасности, направленная на защиту приложений, размещенных на веб-сайтах, и защиту самих веб-сайтов. Защищаемая сущность прикрепляется к веб-сайту, поэтому безопасность веб-приложения должна быть обеспечена на языке программирования, понятном веб-сайтам. Для обеспечения этой защиты обычно используются несколько типов программ безопасности, в том числе сканеры уязвимостей и входное тестирование. Существует множество типов атак на веб-сайт или веб-приложение, но сценарии и внедрение кода являются двумя наиболее распространенными угрозами безопасности в Интернете.

Защита веб-сайта или веб-приложения очень отличается от создания безопасности для программы, установленной на рабочем столе. Приложение находится в сети и, как правило, может быть доступно любому - или, по крайней мере, большой группе пользователей - так что это увеличивает вероятность того, что злоумышленник найдет веб-приложение. Также злоумышленнику легче внедрить код в веб-сайт, поэтому безопасность веб-приложения должна преодолеть эти проблемы.

При создании программы безопасности веб-приложений разработчики программного обеспечения должны создавать программу на языке, который можно использовать на сервере или на веб-сайте. Если сервер или веб-сайт не могут понять язык программирования, существует высокая вероятность того, что программа окажется неэффективной. Многие программы безопасности для настольных компьютеров построены на этих языках, поэтому это обычно не представляет проблемы для большинства разработчиков программного обеспечения.

Кодирование чрезвычайно важно для безопасности веб-приложений, поскольку плохое кодирование веб-сайтов или веб-приложений может облегчить проникновение хакера в систему. По этой причине многие программы безопасности веб-приложений созданы для анализа кодирования на наличие уязвимостей или нестабильности проникновения. Секции ввода также могут помочь хакеру войти в систему, поэтому программы обычно используются для проверки стабильности этих областей ввода. Брандмауэры и тестеры паролей также обычно используются для дополнительной безопасности веб-сайта.

Хакер может атаковать веб-приложение или веб-сайт различными способами, но обычно используются две основные атаки. Внедрение кода, обычно из языка структурированных запросов (SQL), добавляет код в веб-сайт или его базу данных. Это может вызвать проблемы само по себе, или это может открыть дыры в безопасности для более серьезных атак. Сценарии аналогичны внедрению кода, за исключением того, что они запускают вредоносную программу, а не добавляют вредоносные программы в систему.