Unternehmen haben den Schutz ihrer Netze vor feindlichen Übergriffen aus dem Internet in den vergangenen Jahren kontinuierlich verbessert. Dennoch gelingt es Angreifern immer häufiger, über Web-Anwendungen auf firmeninterne Backend-Systeme und darin befindliche sensible Daten zuzugreifen. Wie real die Bedrohung ist, belegen nicht nur zahllose Datenverluste in den USA, sondern auch erste hierzulande publik gewordene Fälle wie der digitale Einbruch bei dem Hamburger Online-Ticketverkäufer Kartenhaus.de im Oktober 2007, bei dem Kreditkartennummern und Rechnungsanschriften von rund 66.000 Kunden gestohlen wurden.
Die herkömmlichen Schutzwälle reichen demnach nicht aus, um derartige Attacken abzuwehren. Die Ursache des Problems liegt weniger in der Infrastruktur, als vielmehr in der Software, die diese nutzt: Zunehmend interaktiv konzipierte, nach außen gerichtete Web-Anwendungen sind nicht nur für legitime Benutzer, sondern auch für Hacker leicht zugänglich und ermöglichen den Zugriff auf den ihnen zugrunde liegenden Programmcode. Mit Angriffsmethoden wie beispielsweise Cross-Site-Scripting, SQL-Injection und Session-Hijacking nutzen Kriminelle gezielt Problemzonen in der Web-Applikation selbst aus, so dass klassische, auf die Absicherung der Transportschichten konzentrierte Schutzvorkehrungen wie Netz-Firewall und Intrusion-Detection/Prevention-Systeme (IDS/IPS), hier zu kurz greifen.
Experten führen das Gros der Schwachstellen in Web-Anwendungen im Grunde darauf zurück, dass das "Web", speziell das Protokoll http, nicht für die heute üblichen Applikationen konzipiert wurde. So müssen etwa aufgrund des im Kern zustandslosen Übertragungsprotokolls Sessions beziehungsweise Zustände der Anwendungen eigens definiert und sicher implementiert werden. Zusätzliche Angriffsflächen, so die mit dem Thema Web Application Security (WAS) befasste Non-Profit-Community "Open Web Application Security Project" (Owasp), entstehen durch die Komplexität oft verwendeter Web-Script-Sprachen, Application-Frameworks und Web-Techniken.
