Produkte wie Content-Filter und Popup-Blocker sind Gegenstand der Desktop-Security. Sie können den Benutzer teilweise auch vor Gefahren schützen, die durch Fehler in der von ihm benutzten Webanwendung entstehen. Die vom BSI propagierte Schutzmaßnahme, aktive Inhalte inklusive Java Script abzuschalten, gehört ebenfalls zu Desktop-Security. Richtig konfiguriert, ist sie also in der Lage, einige Angriffstechniken aus Webanwendungen heraus zu verhindern.
Netzwerk- und Host-Security für sichere Webanwendung
Netzwerk- und Host-Security schließen sich nach unten an die Ebene 1 an. Beide Bereiche sind die wichtigste Voraussetzung für eine sichere Webanwendung. Trotzdem ist die Netzwerk- und Host-Security klar von der Web Application Security zu trennen: Die Skills, die benötigt werden, um Netzwerk und Hosts abzusichern, sind völlig anderer Natur als diejenigen für die Web Application Security. Dies gilt auch für die organisatorische Einbindung: Die Zuständigkeit für die Netzwerksicherheit ist im Unternehmen an zentraler Stelle verankert. Die Zuständigkeit für die Sicherheit der Anwendung muss wegen der untrennbaren Verzahnung der Software mit den abgebildeten Geschäftsprozessen hingegen beim Fachbereich, von dem sie betrieben werden, angesiedelt werden.
Zu den Sicherheitsanforderungen auf der Ebene 0 gehört seitens der Webanwendung, dass sie eine Second-Line-of-Defense etablieren muss. Besitzt die Webanwendung auf der Ebene 3 einen Fehler, der es einem Angreifer erlaubt, in den Host einzudringen, so darf es diesem trotzdem nicht gelingen, dort Schaden anzurichten, der über den Bereich der betroffenen Webanwendung hinausgeht. Durch entsprechende Konfiguration des Hosts sind Schutzzonen zu schaffen, die dies verhindern.
Vor ihrer Inbetriebnahme ist die Webanwendung nicht nur auf Laststabilität und funktionale Fehlerfreiheit zu prüfen, sich muss sich auch einem Sicherheitstest unterziehen. In den verschiedenen Bereichen sind jeweils unterschiedliche Kenntnisse erforderlich. Der Umfang der hierfür am Markt angebotenen Werkzeuge variiert stark.