Veebirakenduste turvalisus on turvafilosoofia, mille eesmärk on kaitsta veebisaitidel hostitud rakendusi ja veebisaite. Kaitstav olem on lisatud veebisaidile, seega tuleks veebirakenduste turvalisus luua programmeerimiskeeles, millest veebisaidid aru saavad. Selle kaitse tagamiseks kasutatakse tavaliselt mitut tüüpi turbeprogramme, sealhulgas haavatavuse skannereid ja sisendi testimist. Veebisaidi või veebirakenduse vastu võib esineda mitut tüüpi ründeid, kuid skriptimine ja koodi sisestamine on võrgus kaks levinumat turvaohtu.
Veebisaidi või veebirakenduse kaitsmine erineb oluliselt töölauale installitud programmi turvalisuse loomisest. Rakendus on võrgus ja sellele pääseb tavaliselt juurde igaüks – või vähemalt suur kasutajate rühm –, nii et see suurendab võimalust, et pahatahtlik kasutaja leiab veebirakenduse. Samuti kipub pahatahtlikul kasutajal olema lihtsam veebisaidile koodi sisestada, seega peab veebirakenduse turvalisus nendest väljakutsetest üle saama.
Veebirakenduse turbeprogrammi koostamisel peavad tarkvaraarendajad tegema programmi keeles, mida saab kasutada serveri või veebisaidi kaudu. Kui server või veebisait ei saa programmeerimiskeelest aru, on suur tõenäosus, et programm ei tööta. Paljud töölauaturbeprogrammid on loodud nendes keeltes, nii et enamiku tarkvaraarendajate jaoks pole see tavaliselt probleemiks.
Kodeerimine on veebirakenduste turvalisuse seisukohalt äärmiselt oluline, sest kehv veebisaidi või veebirakenduse kodeerimine võib häkkeril süsteemi sisenemise lihtsaks muuta. Sel põhjusel on paljud veebirakenduste turbeprogrammid loodud selleks, et analüüsida kodeeringut turvaaukude või tungimise volatiilsuse suhtes. Sisestussektsioonid võivad samuti aidata häkkeril süsteemi siseneda, nii et nende sisestusalade stabiilsuse kontrollimiseks kasutatakse tavaliselt programme. Tulemüüre ja paroolitestereid kasutatakse sageli ka veebisaidi täiendavaks turvalisuseks.
Häkker võib veebirakendust või veebisaiti rünnata mitmel erineval viisil, kuid tavaliselt kasutatakse kahte peamist rünnakut. Koodi sisestamine, tavaliselt struktureeritud päringukeelest (SQL), lisab veebisaidile või selle andmebaasi koodi. See võib iseenesest probleeme tekitada või avada turvaauke raskemate rünnakute jaoks. Skriptid sarnanevad koodisüstiga, välja arvatud juhul, kui need käivitavad pahatahtlikku programmi, mitte ei lisa pahatahtlikku programmi.