Beispielsweise bei der Desktop-Security: Hier geht es um den Schutz des PCs und des Benutzers; im Hinblick auf die Webanwendung, also um die Client-Rolle in der Kommunikation.
Auch der Client muss geschützt werden
Bei der Web Application Security steht demgegenüber der Schutz der Server-Seite im Vordergrund. Doch die Web Application Security muss sich auch mit dem Schutz des Benutzers befassen: Indirekt dadurch, dass sie Sorge dafür trägt, dass beispielsweise das Benutzerkonto von außen nicht einsehbar ist. Beispielsweise geht es darum, dass die Webanwendung einem Betrüger wie einem Phishing-Angreifer den Zugriff auf den Client durch eine XSS-Schwachstelle ("Cross-Site Scripting") nicht noch erleichtert.
Virenschutz ist Teil der Desktop-Security. Eine unsichere Webanwendung kann dazu missbraucht werden, Viren auf einem Weg einzuschleusen, den der Benutzer für sicher hält. Etwa dann, wenn die Webanwendung über eine Schwachstelle (Ebene 3) verfügt, über die Dateien auf dem Server abgelegt werden können.
Auf dem Layer 5 (semantische Ebene) gibt jede XSS-Schwachstelle einem Angreifer die Möglichkeit, über einen präparierten Link einen Virus vermeintlich über diese Webanwendung einzuschleusen, sodass der Benutzer keinen Verdacht schöpft. Auch hier gilt also, dass die Webanwendung keinesfalls die Sicherheit des Benutzers gefährden darf und nicht auch noch dazu beiträgt, dass dieser unter Zuhilfenahme der Webanwendung von einem Dritten getäuscht oder geschädigt werden kann.