Web uygulaması güvenliği, web sitelerinde barındırılan uygulamaları koruma ve web sitelerinin kendilerini güvence altına alma amaçlı bir güvenlik felsefesidir. Korunan varlık bir web sitesine bağlanır, bu nedenle web uygulaması güvenliği web sitelerinin anlayabileceği bir programlama dilinde yapılmalıdır. Bu korumayı sağlamak için güvenlik açığı tarayıcıları ve giriş testi dahil olmak üzere yaygın olarak birkaç tür güvenlik programı kullanılır. Bir web sitesinde veya web uygulamasında meydana gelebilecek birçok saldırı türü vardır, ancak komut dosyası oluşturma ve kod ekleme, çevrimiçi olarak en yaygın kullanılan iki güvenlik tehdididir.
Bir web sitesini veya web uygulamasını korumak, masaüstünde kurulu bir program için güvenlik oluşturmaktan çok farklıdır. Uygulama çevrimiçidir ve genellikle herkes tarafından erişilebilir - veya en azından büyük bir kullanıcı grubu - bu kötü niyetli bir kullanıcının web uygulamasını bulma şansını arttırır. Ayrıca, kötü niyetli bir kullanıcının bir web sitesine kod yerleştirmesi daha kolay olma eğilimindedir, bu nedenle web uygulaması güvenliği bu zorlukların üstesinden gelmek zorundadır.
Bir web uygulaması güvenlik programı oluştururken, yazılım geliştiricilerin programı bir sunucu veya web sitesi üzerinde kullanılabilecek bir dilde yapması gerekir. Bir sunucu veya web sitesi programlama dilini anlayamıyorsa, programın etkisiz hale gelme olasılığı çok yüksektir. Pek çok masaüstü güvenlik programı bu dillerde kuruludur, bu nedenle çoğu yazılım geliştiricisi için bu bir problem oluşturmaz.
Kodlama, web uygulaması güvenliği için son derece önemlidir, çünkü zayıf web sitesi veya web uygulaması kodlaması, bilgisayar korsanlarının sisteme girmesini kolaylaştırabilir. Bu nedenle, pek çok web uygulaması güvenlik programı, güvenlik açıkları veya sızma oynaklık kodlamasını analiz etmek için yapılmıştır. Giriş bölümleri aynı zamanda bir bilgisayar korsanının sisteme girmesine yardımcı olabilir, bu nedenle programlar genellikle bu giriş alanlarını kararlılık açısından kontrol etmek için kullanılır. Güvenlik duvarları ve parola test cihazları ayrıca ekstra web sitesi güvenliği için de kullanılır.
Bir bilgisayar korsanı web uygulamasına veya web sitesine birçok farklı şekilde saldırabilir, ancak iki ana saldırı yaygın olarak kullanılır. Kod yapılandırması, genellikle yapılandırılmış sorgu dilinden (SQL), web sitesine veya veritabanına bir kod ekler. Bu, kendi başına sorunlara neden olabilir veya daha şiddetli saldırılar için güvenlik açığı açabilir. Komut dosyaları, sisteme kötü amaçlı programlama eklemek yerine kötü amaçlı bir program çalıştırmaları dışında kod enjeksiyonuna benzer.
