Aufgrund der starken Abhängigkeiten der hier erwähnten Security-Ebenen ist ein allgemeiner Leitfaden zu Beseitigung von Schwachstellen so einfach nicht zu erstellen. Bestehende Anwendungen und Neuentwicklungen müssen getrennt voneinander auf ihre Sicherheit hin geprüft werden.
Webshield ersetzt keine Netzwerk-Firewall
Man darf keinesfalls von der weit verbreiteten, aber falschen, Annahme ausgehen, dass eine unsichere Webanwendung dann zu keinem Schaden führt, wenn sie selbst keine sensiblen Daten bereitstellt oder sicherheitsrelevante Funktionen ausführt. Eine einzige unsichere Webanwendung kann die Sicherheit des gesamten Systems kompromittieren, wie die Attacken via SQL-Injection oder Session Fixation gezeigt haben. Es ist also die gesamte Site mit all ihren Hosts, Domains, Anwendungen und Auftritten auf ihre Sicherheit zu untersuchen, und alle Schwachstellen sind auf jeden Fall zu beheben.
Eine sinnvolle Maßnahme zur zusätzlichen Absicherung von Webanwendungen stellen so genannte Webshields dar, die als Application Firewalls agieren. Die Einführung eines Webshields sollte jedoch keinesfalls ohne eine Untersuchung der Sicherheit bestehender Anwendungen geschehen. Zu schnell führt dies in der Regel zum Glauben, man wäre nun abgesichert. Denn ein Webshield liefert keinesfalls das gleiche Maß an Sicherheit wie eine Firewall auf der Netzwerkebene.
Kein Königsweg in der Web Application Security
Die komplexe Natur der Web Application Security bringt es mit sich, dass es keinen Königsweg zu einer sicheren Webanwendung gibt. Einzelne Maßnahmen bringen manchmal Randbedingungen mit sich, die denen anderer Maßnahmen direkt widersprechen.
Der Entscheider und der Dienstleister sind daher gleichermaßen wie der Entwickler aufgefordert, die jeweiligen Maßnahmen vor dem Hintergrund der Erfordernisse der jeweiligen Anwendungen zu bewerten und diese geeignet anzupassen. Das Sechs-Ebenen-Modell der Web Application Security sollte Ihnen helfen, neue und bestehende Gefahren zu erkennen, die Verantwortlichkeiten besser zu definieren und die richtigen Entscheidungen für Ihre Bedürfnisse zu treffen.