Dieses Klassifizierungsschema hat sich als sehr hilfreich für das Verständnis von Schwachstellen in Webanwendungen erwiesen - bei der Darstellung gegenüber Fachfremden ebenso wie bei der Schulung von Softwareentwicklern und Sicherheitsverantwortlichen. Darin sind Schwachstellen und zugehörige Schutzmaßnahmen den Ebenen zugeordnet.
Mangelnde Beachtung von Gesetzen
So werden in vielen Firmen hier zu Lande viele Vorschriften nicht eingehalten: etwa die Bestimmungen zum Datenschutz oder das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich). Vielfach werden Inhalte nicht ICRA-gemäß (Internet Content Rating Association) gekennzeichnet oder vertrauliche Informationen fahrlässig preisgegeben. So genannte Social-Engineering-Angriffe werden durch allgemein zugänglich gemachte Daten und Phishing-Attacken durch den Gebrauch von Popups erst ermöglicht.
Vielfach existiert keinerlei Absicherung gegen gefälschte Websites. Unsichere E-Mails durchlöchern den eigentlich abgesicherten Workflow, Passwörter verlieren ihre Einzigartigkeit durch so genannte "Passwort vergessen"-Funktionen, oft gibt es auch keine Regeln für die Passworterzeugung.
Neben Programmierfehlern in Skripten oder bei Datenbankzugriffen wächst auch die Gefahr von Attacken, die als Session Riding bezeichnetet werden. Hierbei kann ein Angreifer über manipulierte Links eigene Daten der Webapplikation übergeben. Der User löscht daraufhin unbemerkt Daten oder er versendet ohne sein Wissen Spam-Mails. Die Konfiguration von webgesteuerten Routern und Firewalls lässt sich so leicht ändern.
Viele Unternehmen setzen auch Einmal-Passwörter ein, die nicht wirklich "zufällig" erzeugt werden, sie übertragen sensitive Daten unverschlüsselt, oder setzen Authentifizierungsverfahren ein, die dem Schutzbedarf der Daten nicht angemessen sind. Oft wird der Webserver selbst auch falsch konfiguriert und bekannte Schwachstellen nicht beseitigt.