如今的Web应用程序可能会包含危险的安全缺陷。这些应用程序的全球化部署使其很容易遭受攻击，这些攻击会发现并恶意探测各种安全漏洞。

Web环境中两个主要的风险在于：注入——也就是SQL注入，它会让黑客更改发往数据库的查询——以及跨站脚本攻击（XSS），它们也是最危险的（Category:OWASP_Top_Ten_Project）。注入攻击会利用有问题代码的应用程序来插入和执行黑客指定的命令，从而能够访问关键的数据和资源。当应用程序将用户提供的数据不加检验或编码就发送到浏览器上时，会产生XSS漏洞。

尽管2009年OWASP（Open Web Application Security Project）的一个报告表明安全方面的投资在增加（Category:OWASP_Security_Spending_Benchmarks），但是NTA Monitor的2010 Web应用安全报名表明Web的安全性跟前一年相比实际在下降。实际上，Web应用的漏洞给公司和组织带来了很多的问题。按照WhiteHat Security最新的Web站点安全性数据报告所示，被评估网站的63%是有漏洞的，每个平均有六个未解决的缺陷。（WhiteHat Website Security Statistics Report）。这些漏洞创建并维持了一个基于攻击窃取数据和资源的地下经济链。

Web应用程序需要有深度防御的措施来避免和减少安全性漏洞。1这种方式假设所有的安全预防措施都可能失败，所以安全性依赖于多层的机制从而能够覆盖其他层的失败。为了减少成功攻击的可能性，软件工程师团队必须做出必要的努力来引入适当的安全性防护措施。要达到这一点必须使用各种技术和工具来确保安全性涵盖软件产品开发生命周期的所有阶段。

软件开发生命周期中的安全性