ความปลอดภัยของเว็บแอพพลิเคชั่นเป็นปรัชญาความปลอดภัยที่มุ่งเน้นไปที่การปกป้องแอปพลิเคชันที่โฮสต์บนเว็บไซต์และการรักษาความปลอดภัยเว็บไซต์ด้วยตนเอง เอนทิตีที่ได้รับการป้องกันนั้นแนบมากับเว็บไซต์ดังนั้นความปลอดภัยของเว็บแอปพลิเคชันควรทำในภาษาการเขียนโปรแกรมที่เว็บไซต์สามารถเข้าใจได้ โปรแกรมความปลอดภัยหลายประเภทมักใช้เพื่อให้การป้องกันนี้รวมถึงสแกนเนอร์ช่องโหว่และการทดสอบอินพุต มีการโจมตีหลายประเภทที่อาจเกิดขึ้นกับเว็บไซต์หรือเว็บแอปพลิเคชัน แต่การเขียนสคริปต์และการฉีดโค้ดเป็นภัยคุกคามความปลอดภัยที่พบบ่อยที่สุดสองทางออนไลน์
การปกป้องเว็บไซต์หรือโปรแกรมประยุกต์บนเว็บนั้นแตกต่างจากการสร้างความปลอดภัยสำหรับโปรแกรมที่ติดตั้งบนเดสก์ท็อป แอปพลิเคชันออนไลน์และโดยทั่วไปสามารถเข้าถึงได้โดยทุกคน - หรืออย่างน้อยก็เป็นกลุ่มผู้ใช้ขนาดใหญ่ - ซึ่งจะเป็นการเพิ่มโอกาสที่ผู้ใช้ที่ประสงค์ร้ายจะพบแอปพลิเคชันเว็บ นอกจากนี้ยังมีแนวโน้มที่จะง่ายขึ้นสำหรับผู้ใช้ที่ประสงค์ร้ายในการฉีดโค้ดลงในเว็บไซต์ดังนั้นความปลอดภัยของเว็บแอปพลิเคชันจึงต้องเอาชนะความท้าทายเหล่านี้
เมื่อสร้างโปรแกรมรักษาความปลอดภัยเว็บแอปพลิเคชันผู้พัฒนาซอฟต์แวร์จะต้องสร้างโปรแกรมในภาษาที่สามารถใช้งานได้ผ่านเซิร์ฟเวอร์หรือเว็บไซต์ หากเซิร์ฟเวอร์หรือเว็บไซต์ไม่สามารถเข้าใจภาษาการเขียนโปรแกรมแสดงว่ามีโอกาสสูงที่โปรแกรมจะไม่มีประสิทธิภาพ โปรแกรมความปลอดภัยบนเดสก์ท็อปจำนวนมากถูกสร้างขึ้นในภาษาเหล่านี้ดังนั้นโดยทั่วไปจะไม่มีปัญหาสำหรับนักพัฒนาซอฟต์แวร์ส่วนใหญ่
การเข้ารหัสเป็นสิ่งสำคัญอย่างยิ่งสำหรับความปลอดภัยของเว็บแอปพลิเคชันเนื่องจากการเข้ารหัสเว็บไซต์หรือเว็บแอปพลิเคชันที่ไม่ดีสามารถทำให้แฮ็กเกอร์เข้าสู่ระบบได้ง่าย ด้วยเหตุนี้จึงมีโปรแกรมรักษาความปลอดภัยเว็บแอปพลิเคชันจำนวนมากที่ทำขึ้นเพื่อวิเคราะห์การเข้ารหัสสำหรับช่องโหว่หรือความผันผวนของการรุก ส่วนอินพุตยังสามารถช่วยให้แฮ็กเกอร์เข้าสู่ระบบได้ดังนั้นโดยทั่วไปโปรแกรมจะใช้เพื่อตรวจสอบพื้นที่อินพุตเหล่านี้เพื่อความเสถียร ไฟร์วอลล์และเครื่องทดสอบรหัสผ่านมักใช้เพื่อความปลอดภัยของเว็บไซต์เพิ่มเติม
แฮกเกอร์สามารถโจมตีเว็บแอปพลิเคชันหรือเว็บไซต์ได้หลายวิธี แต่การโจมตีหลักสองครั้งมักใช้กันทั่วไป การฉีดโค้ดมักจะมาจากภาษาคิวรีที่มีโครงสร้าง (SQL) เพิ่มรหัสลงในเว็บไซต์หรือฐานข้อมูล สิ่งนี้อาจทำให้เกิดปัญหาด้วยตนเองหรืออาจเปิดช่องโหว่ในการรักษาความปลอดภัยสำหรับการโจมตีที่รุนแรงยิ่งขึ้น สคริปต์นั้นคล้ายกับการฉีดโค้ดยกเว้นว่าจะรันโปรแกรมที่เป็นอันตรายแทนที่จะเพิ่มการเขียนโปรแกรมที่เป็นอันตรายลงในระบบ
