Säkerhet för webbapplikationer är en säkerhetsfilosofi inriktad på att skydda applikationer som finns på webbplatser och att säkra själva webbplatser. Enheten som skyddas är kopplad till en webbplats, så webbapplikationssäkerhet bör göras på ett programmeringsspråk som webbplatser kan förstå. Flera typer av säkerhetsprogram används vanligtvis för att tillhandahålla detta skydd, inklusive sårbarhetsskannrar och indatatestning. Det finns många typer av attacker som kan inträffa på en webbplats eller webbapplikation, men skript och kodinjektion är de två vanligaste säkerhetshoten online.
Att skydda en webbplats eller en webbapplikation skiljer sig mycket från att skapa säkerhet för ett program som är installerat på ett skrivbord. Applikationen är online och kan vanligtvis nås av vem som helst – eller åtminstone en stor grupp användare – så detta ökar chansen att en illvillig användare hittar webbapplikationen. Det tenderar också att vara lättare för en illvillig användare att injicera kod på en webbplats, så webbapplikationssäkerhet måste övervinna dessa utmaningar.
När man bygger ett säkerhetsprogram för webbapplikationer måste mjukvaruutvecklare göra programmet på ett språk som kan användas över en server eller en webbplats. Om en server eller webbplats inte kan förstå programmeringsspråket finns det en stor chans att programmet blir ineffektivt. Många datorsäkerhetsprogram är byggda på dessa språk, så detta är vanligtvis inte ett problem för de flesta mjukvaruutvecklare.
Kodning är extremt viktigt för webbapplikationssäkerhet, eftersom dålig kodning av webbplatser eller webbapplikationer kan göra det lätt för en hackare att komma in i systemet. Av denna anledning är många säkerhetsprogram för webbapplikationer gjorda för att analysera kodning för sårbarheter eller penetrationsvolatilitet. Inmatningssektioner kan också hjälpa en hackare att komma in i systemet, så program används vanligtvis för att kontrollera dessa inmatningsområden för stabilitet. Brandväggar och lösenordstestare används också ofta för extra webbplatssäkerhet.
En hacker kan attackera webbapplikationen eller webbplatsen på många olika sätt, men två huvudsakliga attacker används ofta. Kodinjektion, vanligtvis från strukturerat frågespråk (SQL), lägger till en kod i webbplatsen eller dess databas. Detta kan orsaka problem på egen hand, eller så kan det öppna hål i säkerheten för mer allvarliga attacker. Skript liknar kodinjektion, förutom att de kör ett skadligt program snarare än att lägga till skadlig programmering i systemet.