La seguridad del comercio electrónico es una preocupación para muchos minoristas en línea. Con el creciente número de transacciones en línea que se realizan, el número de ataques y fraudes en línea también está aumentando. Es importante que los minoristas en línea eviten problemas de comercio electrónico, porque la pérdida de confianza en un proveedor en línea puede provocar que la empresa cierre. La seguridad del comercio electrónico también es una preocupación para los compradores debido al dolor de cabeza y al tiempo perdido que se produce al intentar solucionar los problemas debidos al robo de identidad o al secuestro de computadoras.
Cuatro áreas componen la seguridad del comercio electrónico: privacidad, integridad, autenticación y no repudio. La privacidad es el proceso de evitar que personas no autorizadas vean información. La integridad es el acto de asegurar un mensaje para que no se pueda cambiar en la ruta hacia su destino. Autenticación significa que las computadoras emisoras y receptoras deben reconocerse e identificarse entre sí. El no repudio es la prueba de que se reciben los mensajes.
Seis formas diferentes de riesgos de seguridad del comercio electrónico representan la mayor preocupación. La autenticación y autorización débiles es una preocupación importante. Las formas de reconocer este problema son que el sitio web permite a los usuarios realizar múltiples intentos de inicio de sesión sin bloquear la cuenta, o no pasa los ID de sesión a través de capas de conexión segura (SSL).
Otra preocupación común en el comercio electrónico son las secuencias de comandos entre sitios o XSS. Las secuencias de comandos de sitios cruzados se basan en el supuesto de que, a menudo, no entendemos en qué hacemos clic o en qué aceptamos en línea. Con la secuencia de comandos entre sitios, una secuencia de comandos maliciosa secuestra JavaScript y, a menudo, aparecerá un cuadro de «OK» para que el usuario haga clic en él. El clic permite que el script recopile cookies de sesión o incluso redirija el navegador a un sitio web malicioso o de phishing. Este es el tipo de violación de seguridad que se produce cuando las personas creen que están iniciando sesión en el sitio web de su banco o tarjeta de crédito, pero en realidad terminan en un sitio malicioso que parece idéntico al que creen que están visitando.
La inyección de SQL se produce cuando el atacante inserta sus propios metacaracteres SQL maliciosos en el código enviado por un usuario. Este código, si no se rechaza, permite al usuario tener acceso por la puerta trasera al sitio de comercio, lo que potencialmente puede obtener acceso a los datos de la tarjeta de crédito y otros detalles de la transacción. La manipulación de precios es otro problema comercial que afecta al sitio web comercial. Permite al atacante cambiar el precio en el carrito de compras en línea. Modifica la información de pago a medida que se mueve entre el navegador y el servidor web.
Los desbordamientos de búfer son un problema de seguridad básico del comercio electrónico que se produce cuando el atacante abruma la base de datos con datos. El script no puede manejar la información y genera un mensaje de error. El mensaje de error señala la ubicación exacta del error, lo que permite al atacante acceder al área de administración del sitio de comercio. La forma más agresiva y devastadora de vulnerabilidad de seguridad del comercio electrónico es cuando una aplicación web ataca una computadora, lo que permite al atacante ejecutar sus propios comandos del sistema operativo en la computadora del usuario.