Verkkosovellusten suojaus on tietoturvafilosofia, joka on suunnattu verkkosivustoilla ylläpidettyjen sovellusten suojaamiseen ja itse verkkosivustojen suojaamiseen. Suojattu kokonaisuus on liitetty verkkosivustoon, joten verkkosovellusten suojaus tulee tehdä ohjelmointikielellä, jonka verkkosivustot ymmärtävät. Tämän suojan tarjoamiseksi käytetään yleisesti useita suojausohjelmia, mukaan lukien haavoittuvuusskannerit ja syöttötestaus. Verkkosivustolle tai verkkosovellukselle voi tapahtua monenlaisia hyökkäyksiä, mutta komentosarjat ja koodin lisääminen ovat kaksi yleisintä tietoturvauhaa verkossa.
Verkkosivuston tai verkkosovelluksen suojaaminen on eri asia kuin tietoturvan luominen työpöydälle asennetulle ohjelmalle. Sovellus on online -tilassa, ja sitä voivat yleensä käyttää kaikki – tai ainakin suuri joukko käyttäjiä – joten tämä lisää mahdollisuutta, että haitallinen käyttäjä löytää verkkosovelluksen. Haitallisen käyttäjän on myös yleensä helpompaa pistää koodi verkkosivustoon, joten verkkosovellusten turvallisuuden on voitettava nämä haasteet.
Verkkosovellusten suojausohjelmaa rakennettaessa ohjelmistokehittäjien on tehtävä ohjelma kielellä, jota voidaan käyttää palvelimella tai verkkosivustolla. Jos palvelin tai verkkosivusto ei pysty ymmärtämään ohjelmointikieltä, on suuri mahdollisuus, että ohjelma on tehoton. Monet työpöydän suojausohjelmat on rakennettu näillä kielillä, joten tämä ei yleensä aiheuta ongelmia useimmille ohjelmistokehittäjille.
Koodaus on erittäin tärkeää verkkosovellusten turvallisuuden kannalta, koska huono verkkosivusto- tai verkkosovelluskoodaus voi helpottaa hakkerin pääsyä järjestelmään. Tästä syystä monet verkkosovellusten suojausohjelmat on tehty analysoimaan haavoittuvuuksien koodausta tai tunkeutumisen epävakautta. Syöttöosiot voivat myös auttaa hakkereita pääsemään järjestelmään, joten ohjelmia käytetään yleensä näiden syöttöalueiden vakauden tarkistamiseen. Palomuureja ja salasanatestereitä käytetään myös yleisesti verkkosivujen lisäsuojaukseen.
Hakkeri voi hyökätä verkkosovellukseen tai verkkosivustoon monella eri tavalla, mutta yleisesti käytetään kahta päähyökkäystä. Koodin ruiskutus, yleensä strukturoidusta kyselykielestä (SQL), lisää koodin verkkosivustoon tai sen tietokantaan. Tämä voi aiheuttaa ongelmia itsessään tai avata aukkoja turvallisuuteen vakavampia hyökkäyksiä varten. Skriptit ovat samanlaisia kuin koodin lisääminen, paitsi että ne suorittavat haittaohjelman sen sijaan, että lisäisivät haittaohjelmia järjestelmään.