Đối với tội phạm, Web đã trở thành một địa điểm để phát tán phần mềm độc hại và tham gia vào một loạt các tội phạm mạng, bao gồm trộm cắp danh tính, lừa đảo, gián điệp và thu thập thông tin tình báo.[69] Các lỗ hổng dựa trên web hiện vượt xa các mối lo ngại về bảo mật máy tính truyền thống,[70][71] và theo đo lường của Google, khoảng một trong mười trang web có thể chứa mã độc.[72] Hầu hết các cuộc tấn công dựa trên web diễn ra trên các trang web hợp pháp và hầu hết, được đo lường bởi Sophos, được lưu trữ tại Hoa Kỳ, Trung Quốc và Nga.[73] Phổ biến nhất trong tất cả các mối đe dọa phần mềm độc hại là các cuộc tấn công tiêm nhiễm SQL vào các trang web.[74] Thông qua HTML và URI, Web dễ bị tấn công như kịch bản chéo trang (XSS) đi kèm với việc giới thiệu JavaScript[75] và bị thiết kế web Web 2.0 và Ajax làm cho việc sử dụng các tập lệnh bị trầm trọng hơn[76] Ngày nay theo một ước tính, 70% tất cả các trang web được mở cho các cuộc tấn công XSS vào người dùng của họ.[77] Lừa đảo là một mối đe dọa phổ biến khác đối với Web. Vào tháng 2 năm 2013, RSA (bộ phận bảo mật của EMC) ước tính thiệt hại toàn cầu từ lừa đảo ở mức 1,5 tỷ đô la vào năm 2012.[78] Hai trong số các phương thức lừa đảo nổi tiếng là Covert Redirect và Open Redirect.

Các công ty đã đề xuất các giải pháp khác nhau. Các công ty bảo mật lớn như McAfee đã thiết kế các bộ quản trị và tuân thủ để đáp ứng các quy định sau ngày 11/9,[79] và một số, như Finjan đã khuyến nghị kiểm tra mã lập trình theo thời gian thực và tất cả nội dung bất kể nguồn gốc của nó là gì.[69] Một số người lập luận rằng các doanh nghiệp coi bảo mật Web là cơ hội kinh doanh chứ không phải là trung tâm chi phí,[80] trong khi những người khác kêu gọi "quản lý quyền kỹ thuật số luôn luôn phổ biến" được thi hành trong cơ sở hạ tầng để thay thế hàng trăm công ty bảo mật dữ liệu và mạng.[81] Jonathan Zittrain đã nói rằng người dùng chia sẻ trách nhiệm về an toàn điện toán là tốt hơn nhiều so với việc khóa Internet.[82]