Η ασφάλεια των εφαρμογών Web είναι μια φιλοσοφία ασφαλείας που προσανατολίζεται στην προστασία των εφαρμογών που φιλοξενούνται σε ιστότοπους και στην εξασφάλιση των ίδιων των ιστότοπων.Η προστατευμένη οντότητα είναι συνδεδεμένη σε έναν ιστότοπο, οπότε η ασφάλεια εφαρμογών ιστού πρέπει να γίνεται σε μια γλώσσα προγραμματισμού που οι ιστοσελίδες μπορούν να κατανοήσουν.Αρκετοί τύποι προγραμμάτων ασφαλείας χρησιμοποιούνται συνήθως για την παροχή αυτής της προστασίας, συμπεριλαμβανομένων των σαρωτών ευπάθειας και των δοκιμών εισροών.Υπάρχουν πολλοί τύποι επιθέσεων που μπορούν να εμφανιστούν σε έναν ιστότοπο ή μια εφαρμογή ιστού, αλλά η δέσμη ενεργειών και η ένεση κώδικα είναι οι δύο πιο συνηθισμένες απειλές για την ασφάλεια στο διαδίκτυο. Η προστασία ενός ιστότοπου ή μιας εφαρμογής ιστού είναι πολύ διαφορετική από τη δημιουργία ασφάλειας για ένα πρόγραμμα που είναιΕγκαταστάθηκε σε επιφάνεια εργασίας.Η εφαρμογή είναι online και συνήθως μπορεί να έχει πρόσβαση από οποιονδήποτε mdash;ή, τουλάχιστον, μια μεγάλη ομάδα χρηστών mdash;Έτσι, αυτό αυξάνει την πιθανότητα ότι ένας κακόβουλος χρήστης θα βρει την εφαρμογή Web.Τείνει επίσης να είναι ευκολότερο για έναν κακόβουλο χρήστη να εισάγει κώδικα σε έναν ιστότοπο, οπότε η ασφάλεια εφαρμογών ιστού πρέπει να ξεπεράσει αυτές τις προκλήσεις.

Κατά την οικοδόμηση ενός προγράμματος ασφάλειας εφαρμογών ιστού, οι προγραμματιστές λογισμικού πρέπει να κάνουν το πρόγραμμα σε μια γλώσσα που μπορεί να είναιχρησιμοποιείται πάνω από ένα διακομιστή ή έναν ιστότοπο.Εάν ένας διακομιστής ή ένας ιστότοπος δεν είναι σε θέση να κατανοήσει τη γλώσσα προγραμματισμού, τότε υπάρχει μεγάλη πιθανότητα ότι το πρόγραμμα θα είναι αναποτελεσματικό.Πολλά προγράμματα ασφαλείας στην επιφάνεια εργασίας είναι ενσωματωμένα σε αυτές τις γλώσσες, οπότε αυτό συνήθως δεν παρουσιάζει πρόβλημα για τους περισσότερους προγραμματιστές λογισμικού.

Η κωδικοποίηση είναι εξαιρετικά σημαντική για την ασφάλεια των εφαρμογών ιστού, επειδή η κακή ιστοσελίδα ή η κωδικοποίηση εφαρμογών ιστού μπορεί να διευκολύνει την είσοδο ενός χάκερτο σύστημα.Για το λόγο αυτό, πολλά προγράμματα ασφαλείας εφαρμογών Web γίνονται για την ανάλυση της κωδικοποίησης για τρωτά σημεία ή τη μεταβλητότητα διείσδυσης.Τα τμήματα εισόδου μπορούν επίσης να βοηθήσουν έναν χάκερ να εισέλθει στο σύστημα, επομένως τα προγράμματα χρησιμοποιούνται συνήθως για τον έλεγχο αυτών των περιοχών εισόδου για σταθερότητα.Τα τείχη προστασίας και οι δοκιμαστές κωδικών πρόσβασης χρησιμοποιούνται επίσης συνήθως για επιπλέον ασφάλεια ιστότοπου.

Ο χάκερ μπορεί να επιτεθεί στην εφαρμογή Web ή στον ιστότοπο με πολλούς διαφορετικούς τρόπους, αλλά χρησιμοποιούνται συνήθως δύο κύριες επιθέσεις.Η έγχυση κώδικα, συνήθως από τη δομημένη γλώσσα ερωτήματος (SQL), προσθέτει έναν κωδικό στον ιστότοπο ή τη βάση δεδομένων της.Αυτό μπορεί να προκαλέσει προβλήματα από μόνη της ή μπορεί να ανοίξει τρύπες στην ασφάλεια για πιο σοβαρές επιθέσεις.Τα σενάρια είναι παρόμοια με την ένεση κώδικα, εκτός από το ότι εκτελούν ένα κακόβουλο πρόγραμμα αντί να προσθέσουν κακόβουλο προγραμματισμό στο σύστημα.