In der Vergangenheit haben sich Unternehmen vor Angriffen mit Hilfe von Netzwerk-Firewalls geschützt. Die Idee hierbei ist, dass nur wenige ausgewählte Verbindungen Zugang zur Firma bekommen. Allerdings haben sich die meisten Angriffe von der Netzwerk- auf die Anwendungsebene verlagert. Hacker konzentrieren sich nicht länger auf das Attackieren von Routern, Switches und anderen Netzkomponenten, sondern greifen lieber die Web-Anwendungen des Unternehmens an.

Leider sind diese Hacker oft erfolgreich, weil viele Web-Anwendungen schwerwiegende Schwachstellen haben. Eine Untersuchung von 687 Applikationen, die die US-amerikanischen Security-Spezialisten von Whitehat Security betrieben haben, hat gezeigt, dass mehr als 82 Prozent der Programme mindestens eine Schwachstelle wie Cross Site Scripting, SQL-Injection und Privilege Escalation aufweisen (siehe auch Die 25 gefährlichsten Programmierfehler). Traditionelle Abwehrmechanismen wie Netzwerk-Firewalls schützen nicht gegen diese Art von Angriffen, denn sie konzentrieren sich voll und ganz auf die Netzwerk- und Transportschicht. Angriffe auf Ebene des Hypertext Transfer Protocol (HTTP, Schicht 7) erkennen diese Instrumente nicht.

Es gibt einige Möglichkeiten, die Sicherheitslücken zu schließen. Eine neue Klasse von Produkten, die einen umfassenden Schutz auf der Anwendungsebene gewährleisten sollen, sind die Web Application Firewalls (WAFs). Eine WAF ist im Grunde eine Art Filter zwischen dem Client und dem Server, der schädliche und gefährliche Requests blockiert, bevor sie die Anwendungen erreichen. Richtig ausgewählt, installiert und konfiguriert kann eine WAF die Sicherheit von Web-Applikationen erheblich verbessern. Die Mehrzahl der WAFs schützen Anwendungen (zumindest auf dem Papier) gegen die meisten Bedrohungen, die das Open Web Application Security Project (OWASP) in seiner Liste der zehn häufigsten Bedrohungen führt. Allerdings ist der Schutz zum Teil sehr aufwendig.