Security in der App verankern
Die Technologieebene betrifft die Verwendung angemessener Schutztechniken sowie deren korrekte Nutzung. Hier werden Fragen behandelt wie die Wahl des richtigen Authentifizierungsverfahrens oder einer geeigneten Softwarearchitektur. Zu evaluieren ist zudem der Einsatz von Mechanismen wie SSL-Protokolle oder Sicherheitszertifikate.
Die Implementierungsebene hängt stark mit der Technologieebene zusammen. Hier kommen die unbeabsichtigten Programmierfehler in den Blick, aber auch die nicht vorhandene oder ungenügende Prüfung von Eingabedaten - das Stichwort heißt Datenvalidierung. Ferner beinhaltet sie laut BSI ungenügende Testverfahren sowie die
Vernachlässigung der Qualitätssicherung zugunsten des Inbetriebnahmetermins oder aus Kostengründen. Häufig ausgenutzte Schwachstellen wie Cross Site Scripting (XSS) und SQL-Injection sind auf dieser Ebene angesiedelt. Diese Techniken sind nach dem letzten "Web Application Security Trends Report" aus dem vierten Quartal 2010 von Cenzic Inc., Anbieter von Sicherheitsprodukten im Bereich Cloud Computing, nach wie vor die am weitesten verbreiteten Sicherheitslücken bei kommerziellen und quelloffenen Web-Anwendungen.