Zabezpečení webových aplikací je filozofie bezpečnosti zaměřená na ochranu aplikací hostovaných na webových stránkách a zabezpečení samotných webových stránek.Chráněná entita je připojena k webu, takže zabezpečení webových aplikací by mělo být prováděno v programovacím jazyce, kterému webové stránky mohou rozumět.K zajištění této ochrany se běžně používá několik typů bezpečnostních programů, včetně skenerů zranitelnosti a testování vstupů.Existuje mnoho typů útoků, které se mohou vyskytnout na webu nebo webové aplikaci, ale skriptování a injekce kódu jsou dvě nejběžnější bezpečnostní hrozby online.

Ochrana webu nebo webové aplikace se velmi liší od vytváření zabezpečení pro program, který jeNainstalováno na ploše.Aplikace je online a obvykle k ní může přistupovat kdokoli a MDASH;nebo alespoň velká skupina uživatelů mdash;To tedy zvyšuje šanci, že škodlivý uživatel najde webovou aplikaci.Má také tendenci být pro škodlivého uživatele snazší vložit kód do webu, takže zabezpečení webových aplikací musí tyto výzvy překonat.Používá se na serveru nebo na webu.Pokud server nebo web nedokáže porozumět programovacímu jazyku, pak existuje vysoká šance, že program bude neúčinný.V těchto jazycích je postaveno mnoho programů zabezpečení na stolním počítači, takže to běžně nepředstavuje problém pro většinu vývojářů softwaru.systém.Z tohoto důvodu se provádí mnoho programů zabezpečení webových aplikací pro analýzu kódování pro zranitelnosti nebo volatilitu penetrace.Vstupní sekce mohou také pomoci hackerovi vstoupit do systému, takže programy se obvykle používají ke kontrole těchto vstupních oblastí z hlediska stability.Firewally a testeři hesel se také běžně používají pro zabezpečení navíc.

Hacker může zaútočit na webovou aplikaci nebo web mnoha různými způsoby, ale běžně se používají dva hlavní útoky.Injekce kódu, obvykle ze strukturovaného jazyka dotazů (SQL), přidá do webu nebo jeho databáze kód.To může způsobit problémy samy o sobě, nebo to může otevřít otvory v zabezpečení pro závažnější útoky.Skripty jsou podobné injekci kódu, kromě toho, že provozují spíše škodlivý program než přidávání škodlivého programování do systému.