Wenn Entwickler nicht sauber definieren, wie und in welchem Umfang Anwendungen den Puffer im Speicher benutzen, kann es hier zu Überläufen, den berüchtigten "Buffer Overflows", kommen. Hacker können diese ausnutzen, um besondere Privilegien zu erhalten und beliebigen Code auf einem Rechner auszuführen oder dessen Steuerung zu übernehmen. Das Owasp warnt, dass Buffer Overflows häufiger in selbst geschriebenen Web-Anwendungen auftauchen, da diese oft weniger intensiv auf mögliche Fehlerquellen untersucht werden als kommerziell verfügbare Lösungen.

Ebenfalls bekannt und äußerst gefährlich sind Injektions-Fehler. Die meisten Web-Applikationen greifen auf weitere Programme und Systeme zurück, um bestimmte Aufgaben zu erfüllen. Hacker nutzen dies aus, um über den Browser Shell-Kommandos oder SQL-Befehle an die Backend-Server oder Datenbanken zu schicken. Die Owasp-Experten warnen, dass sich komplette Skripts in Perl, Python oder anderen Sprachen über unsauber programmierte Web-Anwendungen eingeben und ausführen lassen.

Eine ausführlichere Beschreibung dieser sowie der übrigen WAS-Schwachstellen findet sich in der aktuellen Ausgabe des Owasp-Reports ("The Ten Most Critical Web Application Security Vulnerabilities, 2004 Update"). Neben den darin beschriebenen Risiken gibt es laut Owasp "viele andere kritische Bereiche, die für die Top-Ten-Liste in Betrachtung gezogen, aber nicht aufgenommen wurden", obwohl auch sie bedeutsame Gefahren für Unternehmen darstellen.

Dazu zählt eine Schwachstelle, von der Daniel Wagner, Berater bei SHE, zu berichten weiß: Demzufolge kommt es zuweilen vor, dass sich Programmierer eine Hintertür im Programm offen lassen, um später darauf zugreifen zu können. Dies ist aus Sicht des Experten äußerst problematisch, weil Hacker diese Schwachstelle ebenfalls ausnutzen können. Hinzu kommt, dass solche Lücken häufig nicht dokumentiert werden.

Momentan neigen viele Anwender dazu, die Gefahr zu ignorieren. Wie Experte Schmitz berichtet, gibt es zwar Unternehmen, die bereits etwas zur Sicherung ihrer Web-Anwendungen unternommen haben, allerdings seien das erst "sehr wenige".

Er empfiehlt, Web-Anwendungen unbedingt einer Risikoanalyse zu unterziehen. Unternehmen sollten Sofortmaßnahmen zur Absicherung ergreifen, beispielsweise eine Application-Firewall installieren. "Damit lässt sich schon relativ viel reparieren", findet der Spezialist. Diese Vorgehensweise favorisiert auch Securenet-Mann Schreiber: Ein "Web-Shield" überprüft dabei Eingaben durch die Benutzer (zum Beispiel innerhalb von Web-Formularen) auf die korrekte Syntax und ihre Gültigkeit hin, um Fehler zu vermeiden.