Web Application Security è una filosofia di sicurezza orientata alla protezione delle applicazioni ospitate su siti Web e alla sicurezza di siti Web stessi.L'entità che viene protetta è allegata a un sito Web, quindi la sicurezza delle applicazioni Web dovrebbe essere effettuata in un linguaggio di programmazione che i siti Web possono comprendere.Diversi tipi di programmi di sicurezza sono comunemente utilizzati per fornire questa protezione, inclusi scanner di vulnerabilità e test di input.Esistono molti tipi di attacchi che possono verificarsi in un sito Web o un'applicazione Web, ma lo scripting e l'iniezione di codice sono le due minacce di sicurezza più comuni online.

La protezione di un sito Web o un'applicazione Web è molto diversa dalla creazione di sicurezza per un programma che èinstallato su un desktop.L'applicazione è online e in genere è possibile accedere da chiunque mdash;O, almeno, un folto gruppo di utenti mdash;Quindi questo aumenta la possibilità che un utente dannoso trovi l'applicazione Web.Tende inoltre ad essere più facile per un utente dannoso iniettare codice in un sito Web, quindi la sicurezza delle applicazioni Web deve superare queste sfide.

Quando si creano un programma di sicurezza delle applicazioni Web, gli sviluppatori di software devono creare il programma in una lingua che può essereutilizzato su un server o un sito Web.Se un server o un sito Web non è in grado di comprendere il linguaggio di programmazione, allora c'è un'alta probabilità che il programma sia inefficace.Molti programmi di sicurezza desktop sono integrati in queste lingue, quindi questo comunemente non presenta un problema per la maggior parte degli sviluppatori di software. La codifica è estremamente importante per la sicurezza delle applicazioni Web, perché la codifica del sito Web o delle applicazioni Web scarse può rendere facile per un hackeril sistema.Per questo motivo, vengono realizzati molti programmi di sicurezza delle applicazioni Web per analizzare la codifica per le vulnerabilità o la volatilità di penetrazione.Le sezioni di input possono anche aiutare un hacker a inserire il sistema, quindi i programmi vengono generalmente utilizzati per controllare queste aree di input per la stabilità.I firewall e i tester di password sono anche comunemente utilizzati per la sicurezza extra del sito Web.

Un hacker può attaccare l'applicazione Web o il sito Web in molti modi diversi, ma vengono comunemente utilizzati due attacchi principali.L'iniezione di codice, di solito dal linguaggio di query strutturato (SQL), aggiunge un codice nel sito Web o nel suo database.Ciò può causare problemi da solo, oppure può aprire buchi nella sicurezza per attacchi più gravi.Gli script sono simili all'iniezione del codice, tranne per il fatto che eseguono un programma dannoso piuttosto che aggiungere una programmazione dannosa nel sistema.