E-ticaret güvenliği birçok çevrimiçi perakendeci için bir endişe kaynağıdır. Artan çevrimiçi işlem sayısı arttıkça, çevrimiçi saldırı ve dolandırıcılık sayısı da artıyor. Çevrimiçi perakendecilerin e-ticaret sorunlarını önlemesi önemlidir, çünkü çevrimiçi bir satıcıya duyulan güven kaybı, şirketten ayrılma ile sonuçlanabilir. E-ticaret güvenliği de alıcılar için kimlik hırsızlığı veya bilgisayar kaçırma nedeniyle ortaya çıkan sorunları gidermeye çalışırken ortaya çıkan zaman kaybı ve boşa harcanan bir endişe kaynağıdır.
Dört alan e-ticaret güvenliğini sağlar: gizlilik, bütünlük, kimlik doğrulama ve reddetme. Gizlilik, yetkisiz kişilerin bilgileri görüntülemesini önleme sürecidir. Bütünlük, bir mesajı güvence altına almaktır, böylece varış yerindeki yolda değiştirilemez. Kimlik doğrulama, gönderen ve alan bilgisayarların birbirini tanıması ve tanımlaması gerektiği anlamına gelir. Reddedilmeme, mesajların alındığının kanıtıdır.
Altı farklı e-ticaret güvenlik riski türü en büyük endişeyi temsil ediyor. Zayıf kimlik doğrulama ve yetkilendirme önemli bir husustur. Bu sorunu tanımanın yolları, web sitesinin kullanıcıların hesabı kilitlemeden birden fazla oturum açma denemesi yapmalarına izin vermesidir veya oturum kimliklerini güvenli soket katmanları (SSL) üzerinden geçemez.
Diğer bir yaygın e-ticaret kaygısı, siteler arası komut dosyası çalıştırma veya XSS'dir. Siteler arası komut dosyası çalıştırma, genellikle neyi tıkladığımızı ya da çevrimiçi olarak kabul ettiğimizi anlamadığımız varsayımına dayanır. Siteler arası komut dosyası çalıştırmayla, kötü amaçlı bir komut dosyası JavaScript'i ele geçirir ve kullanıcının tıklayacağı bir "tamam" kutusu açılır. Tıklama, komut dosyasının oturum çerezleri toplamasına, hatta tarayıcıyı kötü niyetli veya kimlik avı yapan bir web sitesine yönlendirmesine olanak tanır. Bu, insanlar bankalarına veya kredi kartı web sitelerinde oturum açtığına inandıklarında meydana gelen, ancak gerçekte ziyaret ettikleriyle aynı görünen kötü niyetli bir siteye girdiklerinde meydana gelen güvenlik ihlali türüdür.
Saldırgan kendi zararlı SQL-meta karakterlerini bir kullanıcı tarafından gönderilen koda eklediğinde, SQL enjeksiyonu gerçekleşir. Bu kod, reddedilmediği takdirde, kullanıcının ticaret sitesine arka kapı erişimine sahip olmasını ve potansiyel olarak kredi kartı verilerine ve diğer işlem ayrıntılarına erişmesini sağlar. Fiyat manipülasyonu, ticaret web sitesini hedefleyen başka bir ticaret sorunudur. Saldırganın, çevrimiçi alışveriş sepetindeki fiyatı değiştirmesine olanak tanır. Tarayıcı ile web sunucusu arasında hareket ettikçe ödeme bilgilerini değiştirir.
Arabellek taşması, saldırgan veri tabanını veriyle boğduğunda ortaya çıkan temel bir e-ticaret güvenliği konusudur. Komut bilgileri işleyemez ve bir hata mesajı oluşturur. Hata mesajı, saldırganın ticaret sitesinin yönetim alanına erişmesine izin vererek hatanın tam yerini belirtir. En agresif ve yıkıcı e-ticaret güvenlik açığı biçimi, bir web uygulamasının bir bilgisayara saldırması ve saldırganın kullanıcının bilgisayarında kendi işletim sistemi komutlarını çalıştırmasına izin vermesidir.
