Web Application Security (WAS) schützt Web-Anwendungen und Webservices vor Angriffen, die über das Hypertext Transfer Protocol ( HTTP) erfolgen. Ziel dieser Angriffe ist es, in den Rechner einzudringen oder die Web- Aktivitäten zu blockieren. Ein Beispiel für diese Attacken ist das Cross Site Scripting ( XSS).
Die Web-Applikationssicherheit umfasst diverse netzwerktechnische, technologische und anwendungsspezifische Aspekte, die weit über die Programmierung und Konfiguration hinausgehen. Aus diesem Grund hat sich für die Umsetzung der Web-Applikationssicherheit ein Modell aus sechs Ebenen bewährt, in dem alle Aspekte berücksichtigt werden. Erst wenn alle Ebenen dieses Modells betrachtet wurden, gilt eine Web-Anwendung als hinreichend sicher.
.png)
Da die Sicherheitsmechanismen der Firewalls auf der Netzwerkschicht und der Transportschicht stattfinden, können bei Einhaltung der Zugangskriterien die Angriffe auch auf der Anwendungsschicht erfolgen. Dies soll die Web Application Security verhindern. Das WAS-Konzept setzt daher auf der Anwendungsschicht Application Layer Gateways ( ALG) oder Web Application Firewalls ( WAF), auch Web Shields genannt, ein. Die Web Shields untersuchen potenzielle Hackeraktivitäten auf Sicherheitslöcher in der Server- Software. Sie sind an bestimmten Mustern im Footprint zu erkennen oder sie profitieren von einer fehlerhaften Programmierung. Werden solche Attacken entdeckt, sperrt der Web Application Firewall (WAF) den Zugriff und verhindert damit, dass die Sicherheit der Website unterlaufen wird.
Im Gegensatz zu den Web Shields sind die ebenfalls in die Web-Sicherheit eingebundenen XML-Firewalls auf Webservices spezialisiert.