Herkömmliche Schutzmechanismen wie Firewalls greifen bei derartigen Problemen jedoch nicht. Die Angriffe erfolgen auf Applikationsebene über den Browser und somit über die Kommunikationsports 80 (bei Verwendung von HTTP) beziehungsweise 443 (bei HTTPS). Wie Thomas Schreiber, Geschäftsführer des Münchner Sicherheitsunternehmens Securenet GmbH, warnt, weisen herkömmliche Firewalls hier eine größere Lücke auf.

Sie seien entweder nicht in der Lage, die Inhalte von Datenübertragungen über diese beiden Schnittstellen ausreichend zu kontrollieren, oder aber die Ports seien schlicht offen. Dadurch ist es nach Ausführung Schreibers möglich, eine formal korrekte, aber eigentlich nicht vorgesehene oder nicht zulässige Anfrage an eine Anwendung zu senden und Daten abzurufen.

Im Einzelnen gibt es eine ganze Reihe von Angriffsmöglichkeiten, die im Umfeld von Web-Anwendungen vorkommen und ein immenses Sicherheitsrisiko darstellen. Eine gute Orientierung bietet das Open Web Application Security Project (Owasp) mit seiner jährlich aktualisierten Liste der zehn gefährlichsten Fehler. Ganz oben auf der im Januar 2004 erschienenen Aufzählung stehen nicht überprüfte Eingabeparameter, gefolgt von unzureichender Zugriffskontrolle, Fehlern

bei der Authentisierung und dem Session-Management, Cross-Site-Scripting, Pufferüberläufen in Anwendungen, Injektions-Fehlern (zum Beispiel SQL-Injection), der falschen Behandlung von Fehlern durch die Web-Anwendung, unsicherer Speicherung, Denial of Service und unsicherem Konfigurations-Management.

Nicht überprüfte Eingaben sind deshalb riskant, weil Hacker in der Lage sind, jeden Bestandteil eines HTTP-Requests zu manipulieren - dazu gehören auch die URL, Abfrage-Strings oder Formularfelder. Um Missbrauch und Angriffe auf Backend-Anwendungen zu verhindern, sollten Web-Anwendungen daher immer nur Eingaben zulassen, die sinnvoll sind und innerhalb der Erwartungen des jeweiligen Kontexts liegen. Wird beispielsweise eine Postleitzahl abgefragt, dürfen in dem dazugehörigen Feld keine Buchstaben oder Sonderzeichen auftauchen.

Bei unzureichenden Zugriffskontrollen können Hacker Zugriff zu Benutzerkonten erhalten, nicht für sie bestimmte Daten einsehen oder Funktionen nutzen. Ähnliches gilt für unzureichende Authentisierung und Session-Management: Hier besteht die Gefahr, dass ein Hacker - wie im Gateway-Beispiel - über eine manipulierte Session-Information an nicht für ihn bestimmte Informationen gelangt.