Bug Online

Web-aplikacije su po svojoj prirodi izuzetno podložne napadima raznih vrsta: većina njih je dostupna najširoj javnosti i to neprekidno, a danas, u vrijeme zamaha elektroničke trgovine, personalizacije sadržaja web-stranica i svih mogućih online prijava i registracija, također izlažu napadima hakera povjerljive podatke pohranjene u bazama podataka. Vatrozidovi i SSL pritom ne pružaju zaštitu jer su portovi 80 i 443 otvoreni na vatrozidovima koji štite web-aplikacije koje moraju biti dostupne svima.
Kao i kod antivirusnog i anti-spam softvera, kod zaštite web-aplikacija je također posrijedi igra mačke i miša između hakera i autora zaštitnog softvera. Najraširenije napadačke tehnike su SQL injection i cross site scripting (XSS). SQL injection je tehnika koja se sastoji od upisivanja odgovarajućeg teksta u polja koja aplikacija koristi u svojim SQL upitima, tako da upiti iz baze izvuku podatke koji se inače ne bi prikazali na web-sučelju (npr. upis teksta a' or 't'='t u upit SELECT * FROM users WHERE name = '" + userName + "' proizvest će upit SELECT * FROM users WHERE name = 'a' OR 't'='t', a kako je t uvijek jednako t, kao rezultat ćemo dobiti sve zapise iz baze umjesto samo jednog). Ova metoda, kao i većina hakerskih postupaka, počiva na pokušajima i pogreškama i temelji se na pogađanju strukture SQL upita i imena stupaca i tabela. Cross site scripting omogućuje ubacivanje zlonamjernog kôda (HTML ili JavaScript) u aplikaciju preko klijenta, u svrhu zaobilaženja kontrole pristupa i integriteta kôda. Tri su poznata tipa XSS napada (nazvani 0, 1 i 2), u detalje kojih ovdje nećemo ulaziti. Ovo, dakako, nisu sve moguće tehnike napada na web-aplikacije.