การเรียกใช้เว็บไซต์ที่มีความปลอดภัยหมายถึงมากกว่าการเฝ้าระวังการโจมตีแบบ Cross-site scripting และ injection injection ข้อบกพร่องในกระบวนการทางธุรกิจที่รองรับเว็บไซต์ยังอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างมาก CTO ของ บริษัท รักษาความปลอดภัยเว็บกล่าวว่าข้อบกพร่องในกระบวนการหรือตรรกะทางธุรกิจสำหรับเว็บไซต์สามารถพิสูจน์ได้ว่าเป็นผลดีต่อแฮกเกอร์ ความสามารถในการใช้ประโยชน์และบางครั้งก็ไม่ใช่เรื่องผิดกฎหมายในทางเทคนิคที่จะใช้ประโยชน์จากเจเรเมียห์กรอสแมน, ซีทีโอของ WhiteHat Security ที่ Source Bo

เขาเสนอตัวอย่างของข้อบกพร่องเหล่านี้รวมทั้งสิ่งที่พบในการออกแบบเว็บไซต์ระบบตรวจสอบสิทธิ์ Captcha และสิทธิ์ของผู้ใช้ คนที่ใช้ประโยชน์จากพวกเขามักถูกห้ามไม่ให้ใช้บริการแม้ว่าบางครั้งพวกเขาจะถูกดำเนินคดี

ในปี 2550 ผู้หญิงคนหนึ่งถูกกล่าวหาว่าเป็นคนหลอกลวง QVC จากสหรัฐฯ 412,000 เหรียญสหรัฐโดยใช้ข้อบกพร่องในตรรกะทางธุรกิจของตน เธอสั่งซื้อสินค้า 1,800 รายการกับเครือข่ายโฮมช็อปปิ้งและยกเลิกใบสั่งซื้อบนเว็บไซต์ของ บริษัท เธอได้รับเครดิตในการส่งคืนสินค้า แต่สินค้าเหล่านี้ถูกส่งให้เธอต่อไปและเธอขายพวกเขาบนอีเบย์กระทรวงยุติธรรมกล่าว QVC ได้ตระหนักถึงเรื่องนี้เมื่อผู้ใช้อีเบย์ติดต่อกับ บริษัท เกี่ยวกับการรับสินค้าที่ยังอยู่ในบรรจุภัณฑ์ ผู้หญิงมีความผิดในการฉ้อโกง

คุณลักษณะการรีเซ็ตรหัสผ่านสามารถนำไปสู่การเข้าถึงบัญชีโดยไม่ได้รับอนุญาตถ้าถามคำถามที่ชัดเจนและแฮ็กเกอร์มีข้อมูลเล็ก ๆ น้อย ๆ เกี่ยวกับผู้ที่ตกเป็นเหยื่อ กรอสแมนนำเสนอตัวอย่างที่เกี่ยวข้องกับผู้ให้บริการโทรศัพท์มือถือ Sprint รายเดิม ในการรีเซ็ตรหัสผ่านเขากล่าวว่าแฮ็กเกอร์จำเป็นต้องทราบหมายเลขโทรศัพท์มือถือของบุคคลและข้อมูลพื้นฐานเช่นที่พวกเขาอาศัยหรือรถที่พวกเขาขับรถ ซึ่งอาจทำให้แฮกเกอร์สามารถสั่งซื้อโทรศัพท์ใหม่ ๆ ในชื่อของเหยื่อหรือติดตั้งบริการใหม่ทางโทรศัพท์ได้

คูปอง E ก่อให้เกิดความเสี่ยงต่อพ่อค้าหากหมายเลขคูปองใกล้เคียงกัน ร้านค้าปลีกรายหนึ่งเห็นว่ามีสินค้าราคาแพงจำนวนไม่กี่ดอลลาร์หลังจากแฮ็กเกอร์เขียนสคริปต์เพื่อค้นหาหมายเลขคูปองที่แตกต่างกันโดยมีเพียงไม่กี่ตัวเลข Grossman กล่าว ผู้ค้าปลีกค้นพบปัญหานี้เมื่อระบบค้นพบคำสั่งซื้อจำนวนมากที่กำลังดำเนินการตอนกลางคืนขณะที่แฮ็กเกอร์ทำงาน

แฮกเกอร์สามารถชักชวนให้นักท่องเว็บคนอื่น ๆ สามารถแก้ปัญหา Captcha ได้โดยล่อให้เว็บไซต์เหล่านั้นโดยไม่ต้องเสียค่าใช้จ่ายใด ๆ เพลงหรือเนื้อหาสำหรับผู้ใหญ่ Captchas ต้องการให้บุคคลหนึ่งถอดรหัสสตริงอักขระที่คลาดเคลื่อนเพื่อลงชื่อสมัครใช้บริการต่างๆเช่นบัญชีอีเมลทางเว็บ นักเล่นเว็บจะแก้แค้น Captchas ซึ่งถูกส่งผ่านทางพร็อกซีเซิร์ฟเวอร์ไปยังแฮ็กเกอร์ซึ่งจะใช้พวกเขาเพื่อลงชื่อสมัครใช้บัญชีอีเมลหลายบัญชีเพื่อส่งสแปมหรือกิจกรรมอื่น ๆ

"ตราบเท่าที่คุณมีผู้ใช้มากพอ ในเว็บไซต์ของคุณคุณมี Captcha แก้ไข "กรอสแมนกล่าว "คนร้ายพยายามเอาชนะ Captchas เหล่านี้เพื่อให้สามารถสแปมเราได้"

ข้อบกพร่องอีกอย่างหนึ่งคือการอนุญาตให้ผู้ใช้เข้าถึงทุกส่วนของเว็บไซต์เมื่อมีการเข้าสู่ระบบหรือรหัสผ่านสำหรับบริการเฉพาะที่นั่น ตัวอย่างเช่นพนักงานที่ บริษัท เอสโตเนียได้ลงชื่อสมัครใช้บริการปล่อยข่าวประชาสัมพันธ์ Business Wire ในปีพ. ศ. 2547 โดยระบุว่า URL ในไซต์บางครั้งมีข้อมูลเกี่ยวกับข่าวประชาสัมพันธ์ที่ยังไม่เผยแพร่ พนักงานที่ บริษัท ได้ใช้โปรแกรมที่ค้นหา URL ทำให้สามารถค้นพบข้อมูลธุรกิจและข้อมูลทางการเงินที่ละเอียดอ่อนได้ หลังจากที่ซื้อและขายหุ้นตามข้อมูลนี้พนักงานได้รับเงินจำนวน 7.8 ล้านเหรียญ แต่ยังถูกกล่าวหาว่าถูกหลอกลวงโดยเจ้าหน้าที่กำกับดูแลของสหรัฐฯ

เขากล่าวว่ามีกรณีคล้าย ๆ กันหลายคดีที่ไม่เคยถูกเปิดเผยเนื่องจากกระทำผิด ไม่เคยจับได้

ความปลอดภัยของเว็บครอบคลุมนอกเหนือจากการประกันคุณภาพและการออกแบบเว็บแอ็พพลิเคชั่นอย่างถูกต้องเพื่อรวมถึงการบริการต่างๆได้รับการจัดตั้งขึ้นเพื่อการดำเนินงานเขากล่าว