<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Hi,<br>
    <br>
    Separating the web server from application server adds almost zero
    practical security. Attacks against the application - such as SQL
    injection - will simply pass through the web server, and have the
    same impact at the application layer. Attacks against the web server
    may be slightly mitigated, but the impact of a compromised web
    server is still serious, and web server vulnerabilities are now rare
    - so this doesn't help you much either.<br>
    <br>
    It's notable that .Net (unlike Java) never persued the approach of
    separating web and application server.<br>
    <br>
    A variation of the three tier archiecture that does add some
    security is to replace the web server with a web app firewall.<br>
    <br>
    Paul<br>
    <br>
    <br>
    On 04/02/2013 22:56, Infosec wrote:<br>
    <span style="white-space: pre;">> Hello,<br>
      ><br>
      > I need to know how the different architecture will effect on
      application security.<br>
      > For example:<br>
      ><br>
      > A. Web server and Database server<br>
      > B. web server , Application server and Database server<br>
      ><br>
      > How much the above architectures secure from SQL injection?<br>
      ><br>
      > I know multi-tier is more secure, but I need more
      explination.<br>
      > Multi-tier is more secure, but still doesn't prevent SQL
      injection, isn't?</span><br>
    -- <br>
    Pentest - The Application Security Specialists<br>
    <br>
    Paul Johnston - IT Security Consultant / Tiger SST<br>
    PenTest Limited - ISO 9001 (44/100/107029) / ISO 27001 (IS 558982)<br>
    <br>
    Office: +44 (0) 161 233 0100<br>
    Mobile: +44 (0) 7817 219 072<br>
    <br>
    Email policy: <a class="moz-txt-link-freetext" href="http://www.pentest.co.uk/legal.shtml#emailpolicy">http://www.pentest.co.uk/legal.shtml#emailpolicy</a><br>
    Registered Number: 4217114 England & Wales<br>
    Registered Office: 26a The Downs, Altrincham, Cheshire, WA14 2PU, UK<br>
    <br>
  </body>
</html>