Grundsätzlich geht es darum, die Ports 80 (http) und 443 (https) zu schützen. Geht das überhaupt? Die Frage, welche Bereiche der IT-Security der Sicherheit von Webanwendungen zuzuordnen sind, lässt sich so nicht mit einer sauberen Abgrenzung beantworten. Die Übergänge sind fließend und die Abhängigkeiten zum Umfeld groß.
Das Sechs-Ebenen-Modell
Die verschiedenen Aspekte der Sicherheit von Webanwendungen lassen sich in einem Sechs-Ebenen-Modell abbilden (siehe Abbildung). Denn bisher wird Web Application Security häufig ausschließlich unter dem Gesichtspunkt der fehlerhaften Programmierung und Konfiguration gesehen.
Die Implementierungsebene ist zwar ein wichtiger Aspekt, aber nur einer von mehreren. Eine Webanwendung kann erst dann als hinreichend sicher eingestuft werden, wenn alle Ebenen betrachtet werden, und auch das - möglicherweise ungünstige - Zusammenwirken der einzelnen Ebenen untersucht worden ist.
Die Web Application Security befindet sich in teilweise enger Abhängigkeit und Wechselwirkung zu anderen Bereichen der IT-Sicherheit. Eine klare Abgrenzung ist jedoch sowohl für die Klärung der Zuständigkeiten wichtig, als auch, um die richtigen Maßnahmen an den richtigen Stellen ergreifen zu können.